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Preface 


L ’audit interne, defini officiellement conmie une activite, est avant tout 
une fonction de I’organisation et c’est avec des ressources appropriees 
de celle-ci que I’audit interne est susceptible d’apporter le plus de valeur 
ajoutee. L’ audit interne doit vivre I’entreprise, etre impregne de sa culture, se 
sentir concerne par tout ce qui la touche, ses succes comme ses difficultes ou 
ses echecs. En consequence, rexternalisation du service d’audit interne, 
« association insolite de termes contradictoires » diraient d’aucuns, est a ban- 
nir. En revanche, le recours ponctuel a des ressources et a des competences 
externes, lorsque la necessite s’en fait sentir, est a recomniander. 

L’ audit interne est une fonction qui presente de grandes specificites et ne 
pent etre coniparee a aucune autre. EUe dispose en fait des caracteristiques 
d’une profession normee a fecheUe international : meme definition, 
memes standards professionnels, meme code de deontologie ; un examen 
mondialement reconnu, le CIA (Certified Internal Auditor), auquel est venu 
s’ajouter pour les pays francophones le DPAl (Diplome Professionnel de 
I’Audit Interne) ; une evaluation reguHere enfin de son bon fonctionnement 
par des organismes independants. 

Contrairement a une idee recue, I’audit interne n’est pas une fonction 
comptable et financiere ou du moins n’est pas que cela. En effet, sa mission 
consiste a analyser les risques, tons les risques, qu’ils soient operationnels, 
financiers ou de conformite, susceptibles d’affecter la realisation des objectifs 
fixes par I’organisation, puis a s’assurer qu’il existe un dispositif de controle 
interne parfaitement adapte a sa situation et, si tel n’est pas le cas, a faire 
toutes les propositions necessaires pour y pourvoir. 

Le probleme de son rattachement fait I’objet, depuis des annees, de grandes 
controverses. Dans la mesure ou I’audit interne s’est, au fil des ans, eloigne 
du domaine comptable et financier, le rattachement a la direction financiere 
doit etre abandonne au profit d’un rattachement a la Direction generale. 

Cette evolution pent etre clairement observee en France, ou 77 % des servi- 
ces d’audit interne sont rattaches a la direction generale ou au president du 
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Conseil si Ton en croit I’enquete eifectuee par I’lfAcI en 2005, centre 15 % a 
la direction financiere. EUe est beaucoup moins marquee dans d’autres pays, 
aux Etats-Unis notamment, ou le rattachement a la direction financiere 
concerne encore 45 % a 50 % des entreprises. 

Les normes professionneUes sont tres prudentes en ce domaine. EUes indi- 
quent seulement - avec raison - que « le responsable de I’audit interne doit 
relever d’un niveau hierarchique permettant aux auditeurs internes d’exercer 
leurs responsabdites ». Les modalites d’appUcation des normes sont plus expli- 
cites et penchent plutot en faveur d’un rattachement au comite d’ audit, posi- 
tion qui n’est soutenue ni par les entreprises frangaises ni par I’lnstitut frangais 
des administrateurs, ni par I’llAcI. Nous croyons pour notre part que seul un 
rattachement hierarchique a la direction generale, double d’un rattachement 
fonctionnel au comite d’ audit peut donner a I’audit interne efficacite et inde- 
pendance, tout en faeditant un champ d’investigation le plus large qui soit. 

L’ audit interne est une function en perpetueUe evolution, au rythme des 
besoins changeants des organisations, et sa mutation n’est pas achevee. 

En France, si I’audit interne est a present bien implante dans les grandes 
entreprises. Ton observe encore de fortes differences selon les secteurs d’acti- 
vite. La banque, par exemple, en raison essentiellement de ses caracteristi- 
ques propres, mais aussi du reglement 97/02 et des controles stricts exerces 
par la Commission bancaire, a developpe un audit interne puissant, reconnu 
et respecte, ce qui n’est pas encore tout a fait le cas pour I’audit interne des 
secteurs de I’industrie, du commerce et des services. 

En ce qui concerne le secteur public, beaucoup de progres restent encore a 
faire, notamment au niveau de I’administration centrale de I’Etat, meme si la 
mise en place recente de la LOLF (loi organique relative aux lois de finance) 
devrait etre tres benefique a I’implantation de veritables services d’audit 
interne en son sein. 

Si I’audit interne est une profession normee, elle n’est pas reglementee, sauf 
dans quelques pays et parfois pour certains secteurs d’activite de ces pays. II 
n’en demeure pas moins vrai que certaines lois peuvent avoir indirectement 
une influence considerable sur I’audit interne. Ce fut vrai en particulier avec 
la loi Sarbanes-Oxley (SOX) de juillet 2002, qui conduisit beaucoup de ser- 
vices d’audit interne, appartenant a des societes cotees a New York, a 
recentrer leurs activites sur des aspects de controle interne comptable et 
financier au detriment de tons les autres. Ce phenomene conjoncturel ne 
devrait pas perdurer. 
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Sur le plan international, grace certes aux initiatives de I’llA^ mais aussi a 
ceUes des organisations telles que I’ECllA^ pour les pays europeens et du 
bassin mediterraneen on I’UFAP pour les pays francophones, I’audit interne 
a fait de forniidables avancees, mais tons les pays ne le pratiquent pas de la 
meme fa^on et les coniparaisons sont parfois difFicdes, meme entre les pays 
consideres conmie les plus avances. 

Comme en toute chose, il n’y a pas de verite absolue sur la fa^ on dont I’audit 
interne doit etre pratique et bien souvent, I’ideal, c’est le possible. En conse- 
quence, les entreprises qui ont des filiales a I’etranger doivent eviter tout 
dogmatisme. Et tout en restant fermes sur les grands principes, elks doivent 
imperativement tenir compte des cultures, des usages, de la realite de la 
« corporate governance » et de la facon dont le role de I’audit interne est percu. 
Ce n’est qu’en agissant avec prudence et doigte que les meiUeures pratiques 
en audit interne y seront peu a peu implantees. 


Louis Vaurs, 
Delegue General de I'lfAcI 


1 . Institute of Internal Auditors : association internationale qui federe les instituts d’audit 
interne nationaux. 

2. European Confederation of Institutes of Internal Auditing : Confederation Euro- 
peenne des Instituts d’ Audit Interne. 

3. Union Francophone de I’Audit Interne. 
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C et ouvrage collectif a pour objectif de donner une vision aussi exhaus- 
tive que possible des specificites et des enjeux de I’audit interne en 
contexte international. 

Les contributions concernent : 

• les aspects methodologiques, organisationnels ou coniportementaux de 
I’audit interne ; 

* ou le role joue par I’audit interne au sein du processus de gouvernance de 
I’entreprise ; 

• ou I’audit des processus specifiques. 

Ce Mvre revet un interet significatif pour les entreprises fran^aises ayant une 
ou des filiales a I’etranger, et/ou les entreprises etrangeres ayant une ou des 
filiales en France, et/ou les groupes multinationaux. Plus precisement, il 
fournit une coniparaison Internationale de normes, de reglementations, de 
comportements. 11 met en evidence I’adaptation de methodologies, traite des 
enjeux et des hmites d’une harmonisation internationale de pratiques et met 
en lumiere Fimpact des differences cultureUes. 

11 convient de souligner I’actualite du sujet : la mise en conformite avec la 
Loi Sarbanes- Oxley (2002), de portee internationale, et les dispositions de 
la huitieme directive europeenne revisee (2006) affectent considerablement 
le processus d’audit global, et par consequent, directement ou indirectement, 
la fonction d’audit interne. 

L’originalite de ce livre reside dans I’association de points de vue d’ensei- 
gnants-chercheurs et de professionnels de I’audit interne. Les praticiens enri- 
chissent la reflexion d’une experience multisectorielle capitaHsee aupres de 
grandes entreprises, en France et a I’etranger. Les professionnels sont auteurs 
ou coauteurs de contributions. Des directeurs de I’audit interne ont egale- 
ment ete interroges ou consultes dans le cadre de la redaction des chapitres. 
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Sur un plan methodologique, la diversite des demarches ajoute a la richesse 
de cet ouvrage. La reflexion prend appui tantot sur une synthese de la littera- 
ture existante ou sur une analyse documentaire, tantot sur I’analyse des resul- 
tats d’une enquete ou sur des temoignages d’experience. Elle aboutit souvent 
a un guide des meilleures pratiques. 

De par la diversite de son contenu et ses dilFerentes facettes, ce Hvre s’adresse 
a plusieurs categories de cibles. 

11 ofire, en prenner lieu, un support pedagogique aux etudiants en master 
professionnel des Universites et des ecoles de commerce qui se destinent au 
metier d’auditeur interne ou de controleur interne. 11 eclaire les defis lances 
par I’audit interne en tant que matiere en devenir. 11 incite egalement les etu- 
diants en Master Recherche se specialisant en audit et controle a approfondir 
certaines problematiques de maniere plus structuree et a faire emerger de 
nouvelles questions de recherche. 

Ce livre n’interesse pas moins les professionnels de I’audit et du controle 
internes travaillant deja - ou projetant de travaiUer — dans un contexte inter- 
national, qu’ils exercent - ou envisagent d’exercer - au sein d’une entreprise, 
d’une banque ou du departement « audit et controle internes » d’un cabinet 
d’audit et de conseil. 

Ces quelques pages apporteront a leurs lecteurs une culture, un complement 
de formation, des elements de methodologie, une prise de recul et des pistes 
de reflexion relatifs aux specificites et aux enjeux de la pratique de I’audit 
interne dans un environnement international. 

Les difierentes contributions ont ete agencees au sein de trois parties, cha- 
cune etant constituee de quatre chapitres. 

Dans la premiere partie, consacree a « I’organisation et a la conduite de 
I’audit interne a I’international », le premier chapitre « dresse » le decor, en 
fournissant au lecteur un cadre d’analyse historique et theorique de la crea- 
tion de la fonction d’audit interne et un apercu des approches organisation- 
neUe et methodologique de I’audit interne sur la base d’une etude empirique. 

Le deuxieme chapitre propose une etude comparative des quatre principaux 
referentiels du controle interne, nes dans difierents pays, a la disposition des 
auditeurs internes : le COSO 1, le COCO, le Turnbull Guidance et le 
Cadre de reference de 1’ Autorite des Marches Financiers. 

Le troisieme chapitre complete utilement la contribution precedente. 
11 dresse un bilan des points de convergence et des difficultes de nuse en 
oeuvre des dispositifs de controle interne dans le secteur bancaire. 
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Enfin le quatrieme chapitre, incontournable, met en exergue les difEcultes 
de communication dans les activites d’audit interne, et aborde, comme 
coroUaire de la communication, les attitudes et les comportements qui sont, 
compte tenu des differences de culture auxqueUes sont confrontes les audi- 
teurs internes, des elements importants a prendre en compte. 

La deuxieme partie, intitulee « la contribution de I’audit interne a la gouver- 
nance de I’entreprise en contexte international », compte eUe aussi quatre 
chapitres. 

Le cinquieme chapitre precise le concept de « corporate governance », puis 
defend la these selon laqueUe, sous certaines conditions, le comite d’audit 
serait le garant d’un jugement objectif de la part de la function d’audit 
interne vis-a-vis du processus de gouvernance d’entreprise. 

Le sixieme chapitre, lui, s’interroge sur I’influence de la loi Sarbanes-Oxley 
sur la cooperation audit interne/audit externe. 11 demontre les bienfaits 
d’une interaction audit interne - audit externe sur le processus de gouver- 
nance de I’entreprise, puis etudie les modahtes et les conditions de I’efficacite 
du processus d’audit global. 

Quant au septieme chapitre, il envisage le whistleblowing, institue par la loi 
Sarbanes-Oxley, comme un dilemme ethique pour I’auditeur interne et nous 
interpeUe sur le role que ce dernier devrait jouer. 

Le huitieme chapitre pose la question de savoir si I’auditeur interne pent 
contribuer a renforcer la maitrise des processus de fusions-acquisitions, puis 
met tout particulierement en evidence le role de I’auditeur interne en 
matiere de gouvernance d’entreprise, dans un contexte propice aux conflits 
d’interets entre actionnaires et dirigeants. 

Enfm, la troisieme partie traite de « la mise en oeuvre d’ audits specifiques en 
environnement international », avec eUe aussi quatre chapitres. 

Ainsi, le neuvieme chapitre constitue un guide pour permettre a tout audi- 
teur de se poser les questions pertinentes au regard de la recherche des frau- 
des dans les conditions normales d’une gestion de filiales. 

Le dixieme chapitre se focalise, quant a lui, sur la detection et la prevention 
de la fraude sur les systemes d’information. 

Le onzieme chapitre expose une methodologie de I’audit social, precise ses 
enjeux et ses limites au sein des multinationales et presente les hens de I’audit 
social avec le concept de responsabilite sociale de I’entreprise et les opportu- 
nites strategiques qui en decoulent. 
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Le douzieme et dernier chapitre decrit la demarche, les indicateurs necessai- 
res a I’etablissement de I’audit strategique, les risques lies a la realisation de ce 
type d’audit, avant de conclure sur la necessaire mise en place d’un veritable 
referentiel partage. 

Concernant la bibliographie, la totalite des references citees est reprise en fin 
d’ouvrage. 

Pour finir, les differents contributeurs^ sont, par ordre d’intervention : 

• Eustache Ebondo wa Mandzila ; 

• Louis Vaurs ; 

• Florence Fradin ; 

• Eric Lamarque ; 

• Francis Lamarque ; 

• Christian Bertheuil ; 

• Christophe Godowski ; 

• Ebsabeth Bertin ; 

• Christian Prat dit Flauret ; 

• Christine Pochet ; 

• Alessandro Reitelli 

• Noel Pons ; 

• Valerie Berche ; 

• Fran^oisVidaux ; 

• Julie Tixier ; 

• Patricia CouteUe-BriUet. 
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Chapitre 1 


Organisation et methodologie 

de I'audit interne 

Par Eustache Ebondo Wa Mandzila^ 

Professeur a Euromed Marseille 
Ecole de Management 


L ’audit interne, tel qu’il est organise et pratique aujourd’hui en France et 
dans le reste du monde, resulte du besoin de maitrise des directions 
generales, confrontees a la taille de leur entreprise, a 1’ augmentation du 
volume d’informations, a la pression de I’environnement, enfin a des centres 
d’ exploitation de plus en plus nombreux et situes dans un grand nombre de 
pays. Cette contribution a pour objectif de fournir au lecteur un cadre 
d’analyse historique et theorique de la creation de la fonction d’audit interne 
et un apercu des approches organisationnelle et methodologique de I’audit 
interne des entreprises internationales frangaises. 


Approches historique et theorique 

La creation de la fonction d’audit interne dans les entreprises s’inscrit dans le 
cadre plus general de revolution de la notion d’audit. 


Evolution historique de I'audit et naissance de la fonction 
audit interne 

Le mot audit, qui nous vient du latin audire, c’est-a-dire « ecouter », a pour 
ancetre en France le commissariat aux comptes, institue par la loi du 
24 juiUet 1867. Le commissaire aux comptes avait alors pour role la verifica- 
tion des comptes. On parla de revision des comptes avant de lui preferer le 

1. L’ auteur remercie I’lfAcI et les directeurs d’audit interne des entreprises qui ont 
repondu au questionnaire, notamnient Jean-JacquesVaudoyer de Renault et 
Georges Deniau de la societe Onet. 
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terme d’audit qui a une connotation plus valorisante. Progressivement, le 
terme d’audit connut un elargissement a la fois horizontal et vertical en 
raison de Pimage de rigueur qu’il vehicule, des risques qu’il parvient a iden- 
tifier, des politiques et des plans qu’il doit accompagner, des economies qu’il 
permet de reaUser, de I’instabilite de 1’ environnement, de la complexite des 
parametres de gestion et de controle qu’il doit maitriser.Toutes ces « vertus » 
associees au mot audit ont fortement contribue a son developpement et a sa 
generalisation. 11 existe veritablement un marche de I’audit et des theories 
relatives a ce marche tentent d’expliquer la demande et I’ofFre des services 
d’audit (Ebondo wa Mandzila, 2006) . Cette implantation ou cette democra- 
tisation de I’audit a fait dire a Power (1997) que nous etions entres dans « la 
societe de I’audit ». Ainsi, I’activite d’audit a fait I’objet de plusieurs dechnai- 
sons. En effet, sur le plan vertical, le champ d’ application ou les domaines 
d’intervention de I’audit ont ete elargis. Aujourd’hui, I’audit a penetre tous 
les domaines, toutes les fonctions, toutes les activites ou toutes les operations 
de I’entreprise, tous les stades decisionnels. Certaines entreprises font meme 
I’objet de plusieurs audits au cours d’un exercice ou d’une periode. Sur le 
plan horizontal, la pratique de I’audit s’est etendue aux organisations pubh- 
ques, aux associations et aux petites et moyennes entreprises. On parle ainsi 
d’audit dans les entreprises publiques, d’audit des associations, d’audit des 
PME/PMl, d’audit des filiales. . . 

Mais cette extension du concept et 1’ elargissement de son champ d’applica- 
tion dans des domaines qui ne lui etaient pas familiers n’ont pas toujours 
contribue au renforcement de I’image de I’audit et a sa clarification. Toute- 
fois, quelques criteres permettent de mieux saisir la notion d’audit. Ainsi, il 
pent etre apprehende selon les criteres statutaires, geographiques et selon 
I’objectif poursuivi. 

Selon le critere statutaire, on distingue I’audit legal de I’audit contractuel. La 
legalite de I’audit repose sur le fait que I’activite de I’auditeur est exercee dans 
un cadre legal predefini et obligatoire. En France, il se confond le plus sou- 
vent avec le commissariat aux comptes et aboutit a une certification des etats 
financiers. En revanche, un audit peut etre souhaite ou soUicite par une 
entreprise en dehors de toute obhgation legale pour repondre a des besoins 
specifiques. On parlera alors d’audit contractuel, dans la mesure ou les mis- 
sions d’un tel audit sont definies par le client. L’ audit peut etre aussi examine 
en function de la nature des objectifs assignes a la mission. Entrent dans ce 
cadre I’audit financier et I’audit operationnel. L’audit financier apparait 
comme la forme d’audit la plus ancienne et la plus connue du public. Pour ce 
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dernier, Tobjectif principal est la certification^ du bilan et du compte de 
resultat, a partir de deux notions fondamentales : la regularite et la sincerite 
des comptes annuels. Pour I’audit operationnel, plus oriente vers les opera- 
tions de gestion, I’objectif est « revaluation des dispositifs organisationnels 
visant a Peconomie, a I’efFicience et a I’efFicacite des choix effectues dans 
I’entreprise a tons les niveaux et/ou revaluation des resultats obtenus de ces 
dispositifs » (Bouquin, 1997 ; Becour et Bouquin, 1996). C’est done la 
recherche de I’efficacite, de I’efficience, bref de 1’ amelioration des perfor- 
mances de I’entite auditee qui anime I’auditeur operationnel. 

On parle aussi d’audit a objectif etendu ou a evaluation globale. Ce type 
d’audit designe la synthese de I’audit financier et de I’audit operationnel. Au- 
dela de s’assurer de la conformite et/ou de la regularite et de la sincerite des 
comptes aux lois et reglements en vigueur, de determiner I’efficacite et I’effi- 
cience de la gestion de I’entite, il s’agira aussi de determiner si les objectifs 
strategiques sont atteints. Le schema n° 1^ ci-apres presente la hierarchie des 
differentes formes d’audit couramment utilisees. 

Mais cette diversite d’audits conduit a envisager I’audit sous I’angle territorial 
ou geographique. Ainsi, selon le critere geographique, on distingue I’audit 
interne de I’audit externe. Ce dernier est beaucoup plus connu sous le nom 
d’audit comptable et financier. 11 est exerce par des experts independants de 
I’entite a auditer. En revanche, I’audit interne, objet de cet ouvrage, est rea- 
lise par des salaries de I’entite auditee. 11 convient de preciser, dans un pre- 
mier temps, la notion et les missions de I’audit interne avant d’aborder, dans 
un deuxieme temps, les fondements theoriques et pratiques de la creation 
d’un service d’audit interne. 


1. L’ audit financier peut ne pas avoir pour objectif la certification des comptes. C’est pre- 
cisement le cas lorsque est confiee a un professionnel la mission d’exprimer une opi- 
nion sur les etats financiers, la situation et les resultats financiers, par reference a des 
normes, dans le contexte par exemple d’une acquisition, d’une demande de credit. 

2. Ce schema est une adaptation de la Direction generale de TAdministration et de la 
Fonction Publiqtie et Inspection Generale de I’lndustrie et du Commerce du guide 
interne « Pour une bonne pratique de I’audit » (date non indiquee). 
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Schema n” 1 - Hierarchie des differentes formes d’audit 

Definition et missions de I'audit interne 

Les missions de I’audit interne ne peuvent etre presentees sans avoir preala- 
blement defini celui-ci. 


Definition de I'audit interne 

L’Institute of Internal Auditors (IIA)\ dont I’une des missions est d’elaborer 
les normes et les pratiques professionnelles, a donne en 1999 une definition 
de I’audit interne, adaptee par I’lfAcI^ en ces termes : « L’ audit interne est 

1. L’lfAcI est le chapitre franfais de I’lIA. 

2. La definition adaptee de I’audit interne a ete approuvee par le conseil d’administration 
de I’lfAcI, en 2000. 
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une activite independante et objective qui donne a une organisation une 
assurance sur le degre de maitrise de ses operations, lui apporte ses conseils 
pour les ameliorer et contribue a creer de la valeur ajoutee. Il aide cette orga- 
nisation a atteindre ses objectifs en evaluant, par une approche systematique 
et methodique, ses processus de management des risques, de controle et de 
gouvernement d’entreprise et en faisant des propositions pour renforcer son 
efFicacite. » 

II n’y a pas d’audit interne et plus generalement d’audit sans dispositifs de 
controle internet En elFet, la mission generale de I’audit interne consiste a 
verifier si les objectifs de controle interne sont atteints. Le referentiel du 
COSO^ I, distingue trois types d’objectifs de controle interne : 

• les objectifs operationnels (realisation et optimisation des operations : la 
realisation des operations se traduit par I’amelioration des performances et 
la securite du patrimoine ; roptimisation des ressources suppose une utili- 
sation economique et efficace des ressources aussi bien financieres, 
humaines, informationneUes, materielles que structureUes) ; 

• les objectifs de fiabilite des informations financieres ; 

• les objectifs de conformite aux lois et aux reglementations en vigueur. 

A ces trois objectifs de controle interne, le COSO II (traduction IfAcI/ 
Price Waterhouse Coopers LandweU, 2005), dans une approche plus globale 
de management des risques, assigne au controle interne quatre categories 
d’objectifs : les objectifs strategiques, les objectifs de realisation et d’optimi- 
sation des operations qui incluent des objectifs de peidormance et de rentabi- 
lite, les objectifs de fiabilite des informations financieres et non financieres, 
externes et internes, enfin les objectifs de conformite aux lois et aux regie- 
mentations en vigueur. 

Les missions de I'audit interne 

A partir des trois objectifs du controle interne qui viennent d’etre indiques, 
peuvent etre associees differentes missions : audit operationnel, audit finan- 
cier et enfin audit de la strategie. 

1. II est aussi vrai que I’audit interne peut preconiser la mise en place d’un controle 
interne qui n’existe pas. Sur la definition et les referentiels du controle interne, voir la 
contribution de Florence Fradin et Louis Vaurs, « Une comparaison des principaux 
referentiels de controle interne » (p. 53). 

2. Acronyme de Committee of Sponsoring Organizations of the Treadway Commission, 
i.e. le comite qui a confu ce referentiel. 
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La mission d’audit operationnel est plus tournee vers I’efFicacite de I’organi- 
sation et le respect des procedures ecrites mises en place. L’auditeur interne 
doit proceder a un examen systematique des activites on des processus d’une 
entite en vue d’evaluer I’organisation et ses realisations et identifier les prati- 
ques jugees non economiques, improductives et inefficaces, enfin de propo- 
ser des solutions d’amelioration et de s’assurer eventueUement de leur suivi. 

Dans le cadre d’une mission d’audit financier, orientee sur la fiabilite des 
informations financieres et la protection des actifs materiels, humains et 
financiers, I’auditeur interne doit s’assurer, en relation avec les auditeurs 
externes, que les procedures de controle interne comptables sont fiables. 11 
ne s’agit nuUement ici d’une mission de certification des comptes. 

A ces deux premieres missions traditionneUes s’ajoute une mission d’audit de 
la strategie. lei, I’auditeur doit identifier les risques associes aux objectifs et 
aux grandes orientations strategiques definies par I’organisation et evaluer la 
conformite on la coherence d’ensemble entre ce qui avait ete dit et ce qui est 
fait dans le but d’apprecier la performance des realisations. 

En outre, a ces trois missions, Renard (2006) associe quatre niveaux de controle 
correspondant aux ages de I’audit interne. Ainsi, I’audit de conformite on de 
regularite « consiste a verifier la bonne application des regies, procedures, 
descriptions de postes, organigrammes, systemes d’information. . . En bref, il 
compare la regie et la realite, ce qui devrait etre et ce qui est ». 

Pour sa part, I’audit d’efficacite ne se contente plus de verifier la conformite 
aux lois et aux reglements, aux normes. 11 doit s’assurer que les procedures 
mises en place sont conformes au referentiel, mais, et surtout, permettent 
d’atteindre les objectifs prealablement definis par I’organisation. 

Quant a I’audit de management, il consiste pour I’auditeur interne a 
« observer les choix et les decisions, les comparer, les mesurer dans leurs 
consequences et attirer I’attention sur les risques et les incoherences... » 
(Renard, 2006). L’ audit de management est souvent assimile a I’audit de la 
strategie^ (Naaima, 2004). 

Enfin, le quatrieme niveau de controle est celui de I’audit de strategie. On 
estime aujourd’hui que « les decisions strategiques qui portent sur grandes 
orientations et les choix fondamentaux » sont potentieUement porteuses de 
risques pouvant compromettre la vie de I’organisation. L’ audit de strategie va 


o 
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1. ou audit strategique. Voir dans cet ouvrage la contribution de Patricia CouteUe-Brillet, 
« Uaudit strategique : positionnenient, demarche et risques », p. 289. 
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consister a apprecier la pertinence des objectifs et leur degre de coherence 
avec les finalites de T organisation. L’audit de strategie constitue le « top 
developpement » de la fonction d’audit interne. Pour realiser ce type d’audit, 
I’auditeur interne doit disposer d’un niveau d’expertise sufFisant et faire 
preuve d’une grande maturite. On admet que ce type d’audit soit confie a 
des consultants externes. 

Invest! de toutes ses missions de controle, I’audit interne a gagne en maturite 
et en credibilite puisqu’il doit desormais fournir a la direction des elements 
d’appreciation de leurs dispositifs de controle interne et des elements d’ame- 
lioration aux operationnels des entites auditees sur le plan social, juridique, 
informatique, fiscal, environnemental et qualite notamment. 


Les fondements de la creation de la fonction d'audit interne 

Plusieurs courants theoriques permettent d’expliquer la creation des services 
d’audit interne. 


La theorie des couts de transaction 

Pour les theoriciens des couts de transaction (Coase, 1937 ; Williamson, 
1985), I’entreprise, contrairement au marche, apparait comme le mode 
d’organisation qui permet de realiser des economies sur les couts de transac- 
tionb En effet, « ce qui distingue les entreprises des marches, c’est la capacite 
qu’ont les entreprises a internaliser certaines transactions et a les realiser a un 
cout moindre que si elles avaient du se derouler sur les marches » (Ebondo et 
Pige, 2002). Pour toutes ces raisons, les dirigeants des grandes societes 
d’abord, ceux des PME/PMl ensuite, ont ete amenes a internaliser I’essentiel 
de leurs travaux d’audit legal grace a la creation des services d’audit interne. 
L’objectif recherche par les dirigeants et les commissaires aux comptes de 
transferer la realisation des travaux de verifications et de controle de confor- 
mite a des auditeurs internes a ete clair : il s’agissait de reduire les honoraires 
verses aux auditeurs legaux. La theorie des couts de transaction offre ainsi 
une pertinente justification de la creation des services d’audit interne dans les 
entreprises. Dans les groupes internationaux, la theorie economique des 

1. P.Joffre, dans De nouvelles theories pour gerer I’entreprise du XXf sikle (Econoiiiica, 1999), 
distingue les couts de transaction ex ante, « lies a la selection du contractant, a I’activite 
de la redaction de negociation et de protection d’un accord » des couts de transaction 
ex post lies « aux necessaires ajustements lots de perturbations non anticipees et a reva- 
luation des comportenients opportunistes ». 
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cessions internes offre la meme explication. En efFet, pour la theorie econo- 
mique des cessions internes, le recours a des prrx des cessions internes et/ou 
des prix de transfert met en evidence ce que coute a I’entreprise le fait de 
repondre a ses besoins par une solution interne. Selon Bouquin (2001), lors- 
que les entites ont la liberte d’acheter ou de vendre aussi bien a I’exterieur 
qu’a I’interieur, « les prix internes jouent un role determinant dans I’obten- 
tion et I’utilisation des ressources ». Toutefois, Bouquin (2001) distingue 
I’influence que la facturation interne pent avoir sur I’aUocation des ressources 
(s’adresser a tel fournisseur plutot qu’a tel autre), de I’impact, plus problema- 
tique qu’elle peut avoir sur I’amelioration de la performance des couts. Pour 
lui, la perspective de devoir vendre en interne, sous concurrence exterieure, 
incite les partenaires de I’amont a cooperer avec ceux de I’aval. La facturation 
interne apparait des lors « comme un dispositif de renforcement de la gestion 
par processus... ». Neanmoins, lorsqu’il s’agit de tarifer des cessions entre 
etablissements d’une societe unique, I’impact sur les comptes sociaux est nul. 
En revanche, s’il s’agit des prix de transfert pratiques entre des fiUales d’un 
groupe juridiquement distinctes, I’incidence des cessions sur les comptes de 
chacune des filiales est evidente en termes de fiscalite notamment. 


La theorie de I'agence et de la gouvernance de I'entreprise 

On attribue la paternite de la theorie de I’agence a Jensen et Meckling 
(1976). Dans leur article fondateur, ces deux auteurs considerent que le 
fonctionnement des entreprises est caracterise par des rapports contractuels. 
On parle de relation d’agence lorsqu’une entreprise ou une personne confie 
la gestion de ses propres interets a une tierce personne. L’illustration la plus 
courante est la relation contractueUe qui lie les proprietaires du capital finan- 
cier (actionnaires) appeles « le principal » aux dirigeants de I’entreprise, 
appeles « agents ». Pour Jensen et Meckling, cette dimension contractueUe 
est porteuse au sein de I’entreprise de confiits d’interets, qui sont facteurs de 
couts. Ces confiits peuvent etre exacerbes lorsque le dirigeant est geographi- 
quement eloigne des actionnaires. Les dirigeants de la filiale peuvent profiter 
de la liberte que leur offre I’eloignement geographique pour adopter un 
comportement contraire aux interets du groupe. L’ audit externe apparait, 
dans ce cadre, comme le mecanisme de controle et de surveUlance du com- 
portement de I’agent eloigne (dirigeant d’une filiale), plus encHn a faire sup- 
porter a la maison mere des couts d’agence et a ne pas respecter toutes ses 
obligations contractueUes. L’audit interne, emanation de la direction generale, 
n’a pas ete considere par la theorie de I’agence comme un mecanisme de sur- 
veiUance au sein de la relation d’agence. Mais, depuis quelques annees, la 
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theorie de Tagence a donne lieu a de nombreux developpements sur la gou- 
vernance des entreprises (Charreaux, 1997 et 2000) qui tendent a integrer 
aussi I’audit interne comme un mecanisme de gouvernance de I’entreprise. 
En efFet, parnii les conflits d’interets susceptibles de s’elever entre les action- 
naires et les dirigeants, I’approche actuelle de la gouvernance de I’entreprise 
semble privilegier la resolution du conflit ne du desequilibre informationnel 
(asymetrie d’information) existant entre I’agent et le principal. L’audit 
interne, rattache au comite d’audit (lorsqu’il existe), a (comme I’audit 
externe ou legal) un role fondamental a jouer au sein de la gouvernance de 
I’entreprise. Pour Gramling et al. (2004), la gouvernance de I’entreprise 
compte quatre composantes : I’auditeur externe, le comite d’audit, le mana- 
gement la function d’audit. La contribution de I’audit interne en tant que 
function participant a la gouvernance pent etre appreciee via les relations 
qu’eUe entretient avec les trois autres acteurs responsables de la gouvernance 
de I’entreprise. La function d’audit interne apparait comme une function 
ressource. Toutefois, les auteurs reconnaissent que la nature et la valeur de 
I’audit interne comme function ressource sont contingentes de la qualite de 
la function d’audit interne. La gouvernance de I’entreprise renforce I’inde- 
pendance de I’auditeur interne (Brody et Lowe, 2000). Le role de I’audit 
interne dans la gouvernance de I’entreprise pent s’apprecier a deux niveaux : 
reduction des asyme tries des informations et management des risques. 

Concernant le premier niveau, il est admis que par rapport aux actionnaires, 
le dirigeant disposait, outre I’information comptable et fmanciere, d’une 
information complete, issue de la comptabilite de gestion et du rapport 
d’audit interne dont il etait le seul destinataire. L’existence d’un comite 
d’audit\ destinataire du rapport de I’auditeur interne, apparait ainsi comme 
la courroie de transmission entre les auditeurs non seulement externes, mais 
aussi internes et le conseil d’administration. C’est grace a ce rattachement 
que I’audit interne pent contribuer a la reduction des asymetries d’informa- 
tion dans un gouvernement d’entreprise. 

L’audit interne a aussi un role cle a jouer au niveau du management des ris- 
ques d’entreprise et surtout dans le processus d’elaboration du rapport sur le 
controle interne exige par la loi sur la securite financiere (LSF) aux societes 
cotees. En effet, il a notamment pour mission d’evaluer le systeme de 
controle interne. A ce titre, il est le mieux a meme d’alimenter le conseil 
d’administration en informations sur les faiblesses du systeme de controle 

1. Voir aussi dans cet ouvrage la contribution de Christophe Godowski, « L’objectivite 
de revaluation de la corporate governance par I’audit interne » (p. 137). 
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interne on sur les zones des risques susceptibles de nuire a I’atteinte des 
objectifs strategiques, operationnels, informationnels et de conformite. 
Gramling et Myers (2006) ont mis en evidence le role joue par bandit 
interne dans le management des risques d’entreprise. 

Selon ces deux auteurs, I’auditeur interne exerce une influence sur cinq de 
ses composantes. 11 donne une assurance raisonnable quant au processus de 
management des risques, que les risques sont correctement evalues, que le 
processus de management des risques a ete bien evalue, que le reporting sur 
les risques majeurs a ete correctement etabli et qu’un bilan sur la gestion des 
principaux risques a ete dresse. Selon les resultats de leur etude figurant dans 
le tableau n° 1 ci-apres, dans I’ensemble, I’audit interne ne joue, a I’heure 
actueUe, qu’un role modere dans le management des risques d’entreprise. Ce 
role est appele a se developper, notamment pour evaluer le processus de 
management des risques de I’entreprise. 

Tableau n” 1 - Les principaux roles de I’audit interne dans le management 
des risques d’entreprise 


Activites relatives au management des risques de 
i’entreprise 

Responsa- 

bilite 

actueile 

Responsa- 

biiiteideaieou 

souhaitee 

Donner I’assurance sur les processus de management 
des risques 

3,10 

3,80 

Donner I’assurance que les risques sont correctement 
evalues 

3,00 

3,60 

Evaluer les processus de management des risques 
di'entreprise 

3,17 

3,82 

Evaluer le reporting des risques principaux 

3,09 

3,70 

Revoir le management des risques principaux 

3,19 

3,76 


Source : Gramling A. A. et Myers P. M. (2006). 

Classement de 1 a 5, selon le degre d’importance croissante : 

1 = aucune responsabilite ; 2 = responsabilite limitee ; 3 = responsabilite moderee ; 

4 = responsabilite importante ; 5 = responsabilite totale. 

Les resultats figurant dans le tableau n° 2 suivant semblent legitimer les roles 
joues par I’audit interne dans la gestion des risques d’entreprise, voire les ren- 
forcer dans les differents domaines. 
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Tableau n° 2 - Les roles legitimes de I’audit interne 


Activites reiatives au management des risques 
de i’entreprise 

Responsa- 

biiite 

actuelie 

Responsa- 
biiite ideate 

Identifier et evaluer les risques 

3,38 

3,50 

Assister le management dans la recherche des solutions 
aux risques 

2,84 

3,11 

Coordonner les activites relatives au management des 
risques de I’entreprise 

2,47 

2,75 

Consolider le reporting relatif aux risques 

2,87 

3,10 

Maintenir et developper le cadre duD management des 
risques de I’entreprise 

2,49 

2,73 

CEuvrer en favour de la mise en place du management 
des risques de I’entreprise 

2,88 

3,27 

Developper la strategie du management des risques au 
service du conseil d’administration 

2,23 

2,51 


Source : Gramling A. A. Myers R M. (2006). 


Les determinants de la creation de la fonction d'audit interne 

La taille de I’entreprise et la dispersion geographique des activites justifient 
souvent la creation d’un service d’audit interne dans des entreprises evoluant 
sur le plan national et international. 

La taiUe de I’entreprise 

La taille de I’entreprise est souvent associee an chiffre d’affaires on aux effec- 
tifs. Le nombre de salaries est le critere qui, de loin, determine la creation 
d’un service d’audit interne. On considere generalement qu’un service 
d’audit interne s’impose a raison d’un auditeur interne pour mibe salaries 
environ (Van Cutsem, 1999). 11 n’est pas rare de rencontrer un service 
d’audit interne dans des entreprises disposant de moins de miUe salaries. 
Dans cette hypothese, outre I’effectif, c’est surtout I’importance relative et la 
nouveaute des operations qui seront prises en compte pour decider de la 
creation d’un service d’audit interne. Dans les autres cas, le recours a un 
audit externe s’avere plus judicieux. 
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La dispersion geographique 

Meme si la creation d’un service d’ audit interne est principalement dictee 
par la taiUe, dans un grouped la dispersion ou I’eloignement geographique 
des filiales par rapport au siege justifie la creation d’un service d’audit interne 
au niveau du groupe, voire des filiales. Les missions a attribuer au service 
d’audit groupe peuvent etre les suivantes : 

* s’assurer que les procedures sont mises en place de fagon homogene tant 
au niveau du siege qu’au niveau des entites fiHales ; 

* s’assurer que les decisions prises au niveau du siege sont correctement 
appliquees au niveau des fihales ; 

• s’assurer que les informations en provenance des memes filiales (les infor- 
mations decoulant d’obligations legales, les informations additionneUes, 
i.e. reporting et I’information coUectee) sont fiables ; 

• s’assurer que les filiales respectent les lois et les reglements en vigueur dans 
les pays ou eUes sont implantees. 

En definitive, les services d’audit interne dans les grandes entreprises natio- 
nales et dans les grands groupes internationaux ont pour mission de garantir 
I’unite de commandement et la coherence globale des politiques et des stra- 
tegies entre le siege et les differents centres de responsabilite et/ou les entites 
filiales du groupe. L’efficacite de I’audit interne dans les grandes entreprises 
nationales et dans les groupes internationaux depend de I’organisation du 
service d’audit et de I’approche methodologique utiUsee. 


Approches organisationnelle et methodologique 

La problematique de I’audit interne des fihales a I’etranger n’est pas tres diffe- 
rente de ce qui se passe au niveau des services ou des filiales metropohtaines^. 
Neanmoins, des specificites cultureUes, hnguistiques, juridiques, comptables 
et fiscales (Haffen, 1999) ainsi que I’eloignement geographique des fihales de 
la maison mere, influencent I’organisation des services d’audit interne et dans 
une moindre mesure la methodologie de I’audit. 

1. Selon Haffen (1999), « un groupe est un ensemble de societes ayant cliacune leur auto- 
noniie juridique mais tenues sous la dependance d’une societe tete de pont, dite 
societe mere ». 

2. On y retrouve une equipe d’auditeurs au niveau du siege qui effectuent des deplace- 
ments dans les viUes ou I’entreprise est implantee. Des services d’audit interne peuvent 
etre aussi crees au sein de ses differentes implantations. 
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L'approche organisationnelle de la fonction d'audit interne 

Pour permettre a I’audit interne d’accomplir efEcacement les missions qui lui 
sont confiees dans le cadre des grands groupes, I’entreprise a le choix entre 
une organisation centralisee et decentralisee (Lemant, 1995, sous la direction 
de Renard, 2006) . 

[.'organisation centralisee de I'audit interne 

Dans les groupes internationaux, I’activite d’ audit interne est organisee sous 
forme de direction. Les auditeurs charges de mener les investigations sont 
organises par metier ou par competence, ou par domaine ou filiale. 

La segmentation du service d’audit interne par metier 
ou par competence 

La segmentation du service d’audit interne par metier ou competence 
consiste a constituer des equipes d’auditeurs internes par specialite^ ou en 
fonction de leurs competences techniques. On y trouve des auditeurs comp- 
tables et financiers, des auditeurs informatiques, des auditeurs qualite, des 
auditeurs marketing et ventes, des auditeurs environnementaux. . . Generale- 
ment, le service d’audit interne est constitue d’un responsable, de plusieurs 
chefs de mission et d’auditeurs (assistants debutants et confirmes). Le chef de 
mission ou responsable de mission assure I’execution pratique de la mission, 
gere de fagon efficiente les ressources mises a sa disposition, supervise les 
assistants et etablit un rapport a destination du directeur central de I’audit. A 
ce titre, ils sont responsables du succes ou de I’echec de la mission vis-a-vis de 
la direction de I’audit et des audites. Le directeur de I’audit est responsable de 
la conception du plan d’audit, du respect de sa mise en oeuvre et du marke- 
ting du rapport final de I’audit. Les assistants effectuent les investigations pre- 
vues dans le programme de verification. Ces auditeurs internes ont en 
commun de reaHser des missions d’audit dans leurs domaines de competen- 
ces respectifi, aupres des fibales pour le compte de la maison mere. Dans certai- 
nes entreprises ou grands groupes internationaux (comme France Telecom), 
les services d’audit sont constitues d’un directeur de I’audit, d’un supervi- 
see, des chefs de mission et des auditeurs. Compte tenu de I’eloignement et 
de la disparite des filiales auditees, la reaHsation des missions exige une 

1. Les plus grands cabinets d’audit mondiaux (les « big four ») ont adopte la meme struc- 
ture. On y trouve des auditeurs specialises en informatique, banque/assurance ou par 
secteur d’activite. 
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grande ouverture d’esprit, une grande capacite d’adaptation. L’interet de 
cette formule reside dans les gains que procure toute specialisation. Le 
schema n° 2 presente la structure d’un service d’audit centralise. 

La direction generale d’un grand groupe pent aussi preferer organiser la 
direction de I’audit interne en procedant a une segmentation par domaine 
ou par filiale. 



Source ; adapte de Renard (2006). 
Schema n° 2 - Structure centralisee d’un service d’audit interne 

La segmentation du service d’audit interne par domaine ou par filiale 

L’organisation du service d’audit interne par domaine ou filiale consiste non 
plus a specialiser les auditeurs en function de leurs competences techniques 
ou leur specialite, mais de leurs domaines d’activites ou de I’implantation 
geographique (Lemant, 1995, sous la direction de). Les services d’audit 
interne de ces entreprises geographiquement dispersees sont eclates par 
region ou par pays dans un souci d’efficacite et aussi pour resoudre les proble- 
mes hnguistiques auxquels peuvent etre confrontes les auditeurs. Le service 
d’audit interne reste unique, mais dispose des antennes dans une viUe de son 
domaine d’action ou dans des filiales. Cette organisation est privilegiee par 
des groupes multinationaux dont les filiales ont des activites differentes.Tres 
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souvent, I’audit agit a la demande, sur des domaines ponctuels et precis, exi- 
geant un niveau d’expertise eleve. 


['organisation decentra I i see dans les entreprises internationales 

L’organisation decentralisee de I’audit interne ne signifie nuUement 
qu’aucun service d’ audit interne central n’existe. 11 s’agit simplement de 
doter les filiales, lorsque les conditions I’exigent (taiUe de la filiale, impor- 
tance des activites ou coniplexification des processus exigeant une evaluation 
reguliere du dispositif de controle interne), de leur propre service d’audit 
interne et de leurs propres auditeurs internes locaux. 

Les missions du service d’audit interne des filiales 

Les pouvoirs et les responsabdites du service d’audit interne decentralise sont 
definis par le service d’audit interne central. D’une fa^ on generale, le service 
d’audit interne de la filiale a pour objectif de reaUser des missions d’audits 
operationnels n’exigeant pas I’intervention des auditeurs centraux. 11 peut 
s’agir d’audits de regularite/conformite aux lois et aux reglements, tant 
internes qu’externes, ou d’audits d’efficacite des procedures mises en place. 
Les auditeurs internes decentralises peuvent aussi beneficier de I’appui tech- 
nique des auditeurs situes au niveau central. Les missions d’audit de manage- 
ment, d’audit specifiques ou d’audit global relevent de la competence du 
service d’audit central. 

Les missions du service d’audit central 

Le service central d’audit interne s’assure qu’il n’y a pas d’ecart entre le service 
d’audit interne dans les filiales et le service d’audit central, notamment dans la 
demarche d’audit, dans I’utiMsation des outHs et des techniques d’audit, enfin 
dans la qualite des equipes. En definitive, le service d’audit interne central 
dans une organisation decentralisee a un double role (Lemant, 1995, sous la 
direction de) : un role d’audit, dans la mesure ou il doit realiser des missions 
d’audits transversaux portant sur des themes specifiques comme le desinvestis- 
sement, le changement dans I’organisation ou des procedures, et un role de 
management global de I’audit dans le groupe. Le service d’audit interne cen- 
tral veiUera alors aux aspects lies a forganisation du service d’audit au niveau 
du siege et des services decentralises d’audit. Renard (2006) attribue au ser- 
vice d’audit central quatre missions : une mission de definition des normes et 
de la politique et des moyens, une mission de formation professionneUe, une 
mission d’ evaluation des activites des auditeurs, enfm une derniere de realisation 
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des missions specifiques. Ces missions echapperaient a la competence des 
unites decentraUsees d’audit interne. Le schema n° 3 ci-apres presente I’orga- 
nisation decentraHsee du service d’audit interne. 



Source : Renard (2006). 

Schema n” 3 - Structure decentraHsee d’un service d’audit interne 


La realisation des missions assignees a I’audit interne depend aussi du posi- 
tionnement hierarchique de la fonction dans I’organigramme du groupe. 


Le rattachement hierarchique de la fonction d'audit interne 

Le rattachement hierarchique de I’audit est prevu par la norme 1 1 1 0 et par 
la Modalite Pratique d’Apphcation (MPA)^ 1 110-1 (llA) et I’lnternational 
Standards for Internal Auditing n° 1000 de la Confederation Europeenne des 
Instituts d’ Audit Interne (ECCIA). Dans les grands groupes internationaux 
ou dans les entreprises evoluant strictement sur le territoire national, le ser- 
vice ou la direction de I’audit interne pent etre rattache soit a la direction 


o 

@ 


1 . Les normes ont un caractere obligatoire alors que les MPA sont facultatives. 
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generale, soit au conseil d’ administration on an comite d’audit, on enfin a 
une direction operationnelle. 

Le rattachement du service d’audit interne a la direction generale 

La direction d’audit interne pent etre rattachee a la direction generale. L’interet 
d’un tel rattachement reside dans la tres grande fluidite de I’information, difRi- 
see de I’audit interne vers la direction generale, et dans la reactivite dans les 
prises de decision. Pour Renard (2006), un tel rattachement permet aux audi- 
teurs internes « d’exercer pleinement leur role de conseiUers du management, 
dialoguant avec la direction generale et tons les echelons hierarchiques ». Le 
rattachement du service d’audit interne a la direction generale est adapte au 
contexte americain dans le cadre de la loi Sarbanes-Oxley, ou il incombe a la 
direction generale (CEO) et au directeur financier (CFO) de produire un rap- 
port sur le controle interne et non au contexte francais (la loi sur la securite 
fmanciere). En effet, en France, la responsabiUte de la production du rapport 
sur le controle interne incombe au president du conseil d’ administration ou de 
surveillance. L’inconvenient de ce rattachement est de sous-entendre que le 
service d’audit interne est le gendarme de la direction, ce qui ne rend pas bien 
compte de son role veritable dans le processus de management des risques, de 
production et d’ elaboration de I’information financiere et non financiere. Par 
aiUeurs, un tel rattachement, dans le cadre des groupes internationaux pent, si 
le dirigeant est opportuniste, priver les membres du conseil d’ administration 
d’informations sur la gestion des fibales. 

Le rattachement au conseil d’ administration ou au comite d’audit 

Le service ou la direction d’audit interne pent etre hierarchiquement ratta- 
che au conseil d’ administration ou au comite d’audit constitue en son sein. 
Dans le cadre d’une bonne gouvernance, le rattachement au conseil d’adnb- 
nistration permet justement de reduire I’asymetrie d’information pouvant 
exister entre les dirigeants et les representants des actionnaires (le conseil 
d’administration). 11 ne s’agit pas de priver la direction generale d’un outil de 
management, mais plutot, dans le contexte legislatif actuel francais, de doter 
le conseil d’adnbnistration d’un outil d’identification et d’evaluation des ris- 
ques, dont il devra faire etat dans un rapport exige par la loi sur la securite 
financiere, joint au rapport de gestion. Par adleurs, le dialogue avec la direc- 
tion generale et les echelons hierarchiques ne serait pas non plus rompu. Le 
champ d’application ne change pas, puisque I’auditeur interne exerce son art 
sur les activites fmancieres et non fmancieres (COSO 11). 11 semble meme 
que le rattachement de I’auditeur interne au conseil d’administration ou au 
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comite serait de nature a apaiser les tensions qui auraient pu apparaitre entre 
I’auditeur externe et le dirigeant, dans une relation d’agence pure, et instau- 
rerait un climat de confiance entre les principaux acteurs de la gouvernance. 

Le rattachement a une direction operationnelle 

Cette derniere solution, de loin la moins interessante dans le cadre d’un 
groupe, place le service d’audit interne sous I’autorite d’une direction opera- 
tionnelle, generalement la direction administrative et financiere. Ce posi- 
tionnement, consistant a situer I’audit interne a un niveau moins eleve que 
les directions operationneUes, pent indubitablement nuire a son efficacite, 
tant sur le plan national qu’international, lorsqu’il doit se deplacer dans des 
filiales notamment. Mais il ne faut pas perdre de vue que ce rattachement 
presente, malgre tout, I’avantage d’un meilleur suivi technique du departe- 
ment ou du service d’audit interne. 

En definitive, les trois solutions envisagees comportent aussi bien des avanta- 
ges que des inconvenients. Une etude realisee par le contributeur (2006) 
visait a connaitre le sentiment des auditeurs internes sur le rattachement hie- 
rarchique leur paraissant plus efhcace. Trente-cinq auditeurs internes ont 
repondu au questionnaire. Les resultats de I’enquete sont resumes dans le 
tableau n° 3 ci-apres. 

11 ressort du tableau que 37 % des auditeurs internes sont rattaches a la direc- 
tion generale, 31 % sont hierarchiquement rattaches au P-DG, et 20 % a la 
direction administrative et financiere. Sont ensuite evoques la direction 
Organisation, le secretariat general, le comite d’audit et le president du 
conseil d’administration. 

Pour plus de 80 % d’ auditeurs internes interroges, leur rattachement a la 
direction generale (37,14 %) ou au P-DG (31,43 %) est une bonne chose 
pour la fiabilite de I’information. Seuls 20 % pensent le contraire. 

La mondialisation des economies, les besoins de financement des entreprises 
et les principes de bonne gouvernance semblent miUter en faveur d’un ratta- 
chement du service d’audit interne au conseil d’administration et/ou au 
comite d’audit. 
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Tableau n° 3 - Rattachement hierarchique des auditeurs internes 


Rattachement hierarchique 

Effectifs 

% 

Au president du conseil d’administration 

1 

2,86 

Au P-DG 

11 

31,43 

A la direction generale 

13 

37,14 

A la direction generaie adjointe en charge de ia finance et 
de I’audit 

1 

2,86 

Au secretariat generai 

1 

2,86 

A ia direction du controie generai de ia planification 

1 

2,86 

A ia direction administrative et financiere 

7 

20,00 

Au comite d’audit 

1 

2,86 

A ia direction Organisation 

1 

2,86 

Autres 

1 

2,86 

Total 

35 

100% 


Source : Ebondo wa Mandzila (2006). 


La methodologie de I'audit interne en contexte international 

La methodologie de I’audit interne dans les entreprises internationales n’est 
pas fondamentalement difFerente de celle des entreprises evoluant stricte- 
ment sur le territoire national. Cette harmonisation methodologique a ete 
rendue possible grace aux Normes professionnelles et Modalites pratiques 
d’apphcation (MPA) elaborees au niveau international par I’lIA^ et au niveau 
de I’Union europeenne (UE) par LECIIA. Toutefois, certaines specificites 
culturelles, linguistiques, comptables et fiscales peuvent etre observees pour 
conduire une nnssion d’audit a I’international. 


Specificites des pratiques dans les entreprises internationales 

Les pratiques d’audit interne dans les entreprises internationales se distinguent 
de celles des entreprises non dispersees geographiquement, au niveau des nns- 
sions d’audit, de la composition de I’equipe d’auditeurs et des rapports. 


1. Ces normes sont adoptees et parfois adaptees par chaque chapitre national de ITIA. 
C’est le cas en France de ITfAcI. 
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Les missions d’audit dans les entreprises internationales 

Les missions d’audit sont realisees selon un plan pluriannuel etabli a partir 
d’une analyse prealable des risques au niveau des differentes entites. EUes 
peuvent etre realisees egalement pour repondre a une demande specifique. 
Dans les entreprises internationales en eliet, les missions d’audit interne se 
repartissent en trois categories : les missions de I’audit du groupe, les missions 
d’audit interne locales et des missions horizontales ou mixtes. 

Les premieres sont realisees au niveau de la direction de I’audit groupe et 
dans les filiales. C’est la direction de I’audit groupe qui est responsable de 
I’execution de ces missions. En revanche, les missions locales, c’est-a-dire 
celles resultant du plan d’audit de chaque entite ou filiale, sont realisees, apres 
approbation du plan d’audit, par la direction de I’audit groupe, par le service 
d’audit interne de la filiale, s’il en existe un, ou par I’equipe d’audit central. 

Les missions d’audit mixtes ou horizontales sont realisees par des auditeurs 
provenant de la direction de I’audit du groupe et par des auditeurs des filiales. 
Elies concernent une meme activite presente dans les differentes filiales du 
groupe. L’ execution des missions mixtes ou horizontales est assumee par la 
direction de I’audit groupe. 

La mise en oeuvre des missions d’audits dans les entreprises internationales, 
compte tenu de I’eloignement et des specificites culturelles du lieu d’implan- 
tation des filiales, exige qu’une attention particuUere soit accordee a la com- 
position de I’equipe d’auditeurs devant reaUser des missions au niveau du 
siege et des filiales du groupe. 

La composition de I’equipe d’auditeurs interne du groupe 

Les auditeurs internes dans les entreprises internationales se repartissent en 
deux categories : ceux qui interviennent au niveau du groupe, c’est-a-dire 
des filiales du groupe, et d’autres qui n’interviennent que dans leur zone 
geographique. Certaines missions font appel a des equipes mixtes (auditeurs 
situes au niveau de la direction centrale de I’audit et au niveau des filiales). 
Des echanges d’auditeurs entre equipes peuvent etre organises lorsqu’aucune 
entite du groupe ne dispose des competences dans un domaine complexe. La 
direction d’audit de filiale peut faire aussi appel a un auditeur externe. 11 
devra alors en informer la direction d’audit du groupe et engage sa responsa- 
biUte. Le probleme de la composition de 1‘equipe d’auditeurs se pose lorsque 
les auditeurs du groupe sont amenes a realiser des missions d’audit dans les 
filiales du groupe. En effet, dans certaines de ces entites, I’arrivee des audi- 
teurs peut etre mal ressentie ou mal interpretee. 11 est necessaire d’avoir une 
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equipe Internationale d’auditeurs pour s’adapter a tons les environnements 
culturels et linguistiques. Ainsi, I’equipe d’auditeurs internes doit etre com- 
posee aussi d’auditeurs de la nationalite du lieu d’iniplantation de la filiale. La 
presentation des auditeurs aux audites doit mettre I’accent sur cet aspect 
multiculturel des membres de I’equipe et sur les outils et techniques utilises 
durant la phase d’execution ou de realisation de I’audit. Les obstacles cultu- 
rels peuvent etre surmontes grace a la construction d’un plan d’audit 
« monde » devant comprendre des missions mixtes (auditeurs groupe et 
auditeurs zones reaHsent conjoin tement les missions). 11 pent s’agir aussi des 
missions strictement locales, c’est-a-dire confier les missions d’audit des filia- 
les a des auditeurs locaux. Des correspondants ou des relais dans la zone geo- 
graphique facUitent et coordonnent les relations de I’audit avec les managers 
de zone. De meme, certaines pratiques d’audit peuvent etre per^ues comme 
une inquisition intolerable lorsqu’il s’agit, par exemple, de proceder a des 
tests ou a des observations physiques. Dans ces conditions, certains outils de 
I’audit doivent etre utilises avec beaucoup de precautions et leur utiHte prea- 
lablement expliquee aux audites. Ceci est vrai notamment de I’observation 
physiqueb Des differences peuvent apparaitre au niveau du referentiel de 
controle interne. 11 convient d’harmoniser sans delai les approches d’audit 
entre les equipes centrales et decentralisees. 


En pratique 

Les differences linguistiques peuvent mettre d mal la conduite d'une mission 
d'audit d I'internotional, en raison des incomprehensions qu'elles suscitent. 
En effet, une mouvaise traduction peut nuire d lo mission d'audit dons la 
filiale. Sons oiler jusqu'd exiger des auditeurs lo pratique de la longue du 
pays d'implantation de la filiale, il leur est conseille la maTtrise de I'anglais 
pour realiser des missions d'audit d I'internationoP. 


De meme, des differences legislatives peuvent engendrer des risques d’audit. 
La connaissance a la fois des legislations etrangeres et franpaises est indispen- 
sable pour conduire une mission a I’international. L’auditeur peut s’attacher 
les services des juristes locaux par exemple. Ce qui est vrai sur le plan juridi- 
que I’est aussi sur le plan comptable et fiscal ou il est demande a I’auditeur 

1. L’observation physique ne doit pas etre clandestine, mais ponctueUe et validee. 

2. Sur les difficultes de communication en environnement international, voir dans cet 
ouvrage la contribution de Christian Bertheuil, « Les difficultes de communication 
liees a la pratique de I’audit interne a I’international » (p. 115). 
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interne groupe de ne pas chercher a se calquer sur les methodes fran^ aises, 
mais d’essayer de comprendre la traduction, dans les etats financiers, des chif- 
fres presentes en tenant compte des specificites fiscales et comptables. 

Les rapports d’audit dans les entreprises internationales 

Dans les entreprises internationales, chaque filiale redige un rapport d’audit 
interne qu’il transmet a la direction de I’audit interne groupe. Ce dernier 
redige un rapport d‘audit consolide. 

Les specificites cultureUes, linguistiques, fiscales et comptables auxquelles 
sont confrontes les auditeurs lorsqu’ils realisent des missions d’audit en con- 
texte international vont influencer I’approche d’audit. 

L'approche d'audit a I'international 

La methodologie d’audit est fondee sur I’approche par les risques. 11 s’agit de 
mettre a plat toutes les activites, tous les processus, toutes les fonctions afin 
d’identifier tous les risques internes et externes de I’entreprise. Les scandales 
anciens et recents prouvent la justesse de cette demarche. Mais, lorsque 
I’entreprise atteint une certaine taille et que ses activites sont reparties sur 
plusieurs sites, cette approche trouve alors ses limites, puisque I’auditeur ne 
pent pas voir depuis le siege tout ce qui se passe dans les differents sites ou 
filiales a I’etranger. C’est pourquoi I’auditeur, dans son approche par les ris- 
ques, ne doit se focaliser que sur des points presentant un degre de risques 
eleve ou construire un plan d’audit qui tienne compte de cette realite. Les 
directions d’audit central ont le choix entre une approche par les grandes 
fonctions de I’entreprise (achats, production, commercial...) ou par cycle, 
une autre par les processus, et une derniere par metier notamment. Un 
savant dosage est souvent opere en fonction des specificites, des activites ou 
des fonctions sensibles du groupe ou des fiUales. Dans la mesure ou le plan 
d’audit a ete elabore, vient alors la conduite de la mission d’audit interne. 

La conduite d'une mission d'oudit interne en contexte international 

La conduite d’une mission d’audit interne en contexte international et 
national comporte trois phases : preparation, realisation et restitution des 
resultats.Trois acteurs interviennent dans la mission : 

• I’auditeur : celui qui conduit la mission d’audit ; 

• I’audite : celui qui fait I’objet de I’audit ; 

• le prescripteur d’audit : celui qui donne I’ordre a I’auditeur de reaUser la 
mission d’audit. 
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Les phases 


Normes ou pratiques 
generalement admises 


Techniques utiiisees 



Schema n" 4 - Les trois phases d’une mission d’audit 

Une mission d’audit se prepare. Mais auparavant, I’auditeur doit avoir re^u 
I’ordre ou le mandat d’efFectuer la mission. Le document qui fait declencher 
la mission d’audit s’intitule un ordre de mission pour I’auditeur interne ou 
une lettre de mission pour I’auditeur externe. 11 s’agit generalement d’un 
document d’information court (une page) qui indique le prescripteur, le 
destinataire et I’objet de la mission, les objectifs generaux, le lieu et perimetre 
de la mission, la date du debut et de la fin de la mission. 

Phase de prise de connaissance de I’environnement et de conscience 
des risques eventuels 

Cette etape, qui conditionne le succes ou I’echec de la mission, presente un 
double objectif : prendre connaissance de I’environnement et du domaine a 
auditer et prendre conscience des risques eventuels. 

La prise de connaissance de I’environnement et du domaine a auditer 

L’auditeur ne peut pas se lancer dans I’execution d’une mission d’audit dans 
une entite ou un domaine qu’il ne connait pas. 11 doit preparer la mission en 
commencant d’abord par rassembler les informations necessaires. Pour cela, 
il collecte les documents suivants : 

• organigramme ; 

• definitions des fonctions ; 
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• bilans et les comptes de resultats ; 

• rapports des comrtiissaires aux comptes ; 

• instructions operationnelles et manuels de procedures ecrites et en 
vigueur dans la societe ; 

• informations relatives aux problemes conjoncturels auxquels I’entreprise 
est confrontee. 

En definitive, I’auditeur doit disposer des documents, d’informations et 
d’elements suffisants et pertinents pour acquerir une meiUeure connaissance 
de r environnement, du domaine et des risques susceptibles de menacer 
I’atteinte des objectifs de la societe. Les informations ainsi coUectees doivent 
etre completees par une analyse economique et financiere afin de situer le 
domaine, comprendre son evolution, comparer les principaux indicateurs 
d’activite et de resultat pour detecter les risques globaux, les ratios financiers 
dangereux et les evolutions inquietantes. 

La prise de connaissance ne se resume pas a la collecte des donnees et a 
leur etude. L’auditeur rencontre aussi les personnes concernees par la mis- 
sion d’ audit et leur pose les bonnes questions. 11 procede par interview 
selon I’ordre hierarchique de la societe. En effet, tons les « secrets » de la 
societe ne sont pas toujours transcrits dans les documents officiels. L’audi- 
teur utilise aussi d’autres outils comme les « flow charts » (ou diagrammes 
de circulation) pour analyser le circuit des documents crees par I’entre- 
prise, la grille d’ analyse des taches et des functions pour s’assurer de la 
separation des taches ou des fonctions incompatibles, le questionnaire de 
prise de connaissance^ pour mieux cerner le contexte socio-economique, 
organisationnel et le fonctionnement du domaine. Ce questionnaire doit 
etre concu de telle sorte que toutes les questions soient formulees de 
fa^on a ce que la reponse « oui » indique une situation favorable et la 
reponse « non » une situation defavorable. Les reponses N/A (non appli- 
cable) doivent etre limitees. 

La phase de prise de conscience des risques et d’opportunites d’ amelioration 

Toutes les informations ainsi recueihies, exploitees ou analysees sont classees 
dans un dossier permanent. EUes permettent a I’auditeur de realiser une eva- 

1 . II s’agit de reprendre les questions que I’auditeur se pose sur I’entite a auditor afin de se 
familiariser avec elle, de permettre une orientation de la mission. La mise en ceuvre du 
questionnaire de prise de connaissance se fait par interview, par analyse du systeme 
d’information, des procedures, des documents et par observation. 
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luation preliminaire des forces et faiblesses apparentes. D’ou I’elaboration par 
I’auditeur d’un tableau des risques^ reproduit dans le tableau n° 4 ci-apres. 


Tableau n° 4 - Tableau des risques 


Entile/ 

domaine/ 

operation 

Objectifs 

de 

controle 

Risques 

Bonnes 

pratiques 

Forces et 
faiblesses 
apparentes : 
F/f 

Evaluation 
preliminaire 
des risques 



R1 


f (faiblesse) 

eleve 



R2 


f 

moyen 



R3 


f 

faible 


L’etablissement de la feuille de risques passe par le decoupage du domaine 
ou de I’activite en objets auditables, la definition des objectifs a atteindre 
par chacune des taches, revaluation de I’impact ou du risque associe en 
cas de non atteinte de I’objectif de controle, I’indication des bonnes prati- 
ques ou des criteres d’evaluation permettant d’apprecier en termes de ris- 
ques ou de resultats observes, I’atteinte d’un objectif de controle, 
I’expression d’une opinion (son constat) en termes de force ou de faiblesse 
ou de « oui » ou « non ». La derniere colonne est reservee a revaluation 
preliminaire des risques. En effet, les risques identifies sont evalues selon 
deux criteres : la probabilite de survenance du risque et I’impact en cas de 
survenance. En pratique, les auditeurs privilegient une cotation selon une 
echelle de type : risque faible/moyen/eleve. On comprend que la demar- 
che de I’auditeur interne soit fondee sur I’approche par les risques. Schick 
(2007) a elabore un schema des risques referentiels, plus detaille que nous 
reproduisons ci-apres. 

Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il 
conviendra de verifier ulterieurement sur le terrain. 


1. Ce document etait autrefois appele tableau des forces et des faiblesses apparentes 
(TFfA) et presente plusieurs variantes selon les auteurs. Les quatre premieres colonnes 
constituent le referentiel pour tout auditeur. 
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Scenarios de survenance 

Que peut-ilse passer? 


Comment 
savoircequ'il 
en est ? 


Consequences 

Qu'est-ce que cela pent faire ? 

Source : Schick (2007). 


Schema n' 5 - Les risques referentiels 
La phase du choix des objectifs 

Du tableau des risques decoule le rapport d’orientation (ou termes de refe- 
rence, ou note d’orientation). Il s’agit d’un document a destination des audi- 
tes dans lequel I’auditeur synthetise les conclusions qu’il a pu faire sur les 
zones de risques, les dilFicultes envisagees, rappeUe les objectifs generaux et 
specifiques, propose les services et les divisions qui seront audites, definit la 
nature et I’etendue des travaux a reaHser. Si les orientations proposees par 
I’auditeur sont acceptees, le rapport d’orientation devient un document con- 
tractuel et engage les deux parties. Le programme de verification ou la liste 
des travaux a effectuer par I’equipe d’auditeurs pour repondre aux engage- 
ments du rapport d’orientation est ensuite elabore. 


La phase de reaHsation de la mission 
L’auditeur poursuit deux objectifs : 

• mettre en evidence les faiblesses et les forces apparentes du dispositif de 
controle interne existant, identifiees lors de la preparation de la mission ; 

* proposer des solutions d’amelioration. 

L’equipe d’audit affectee a la mission ayant pris connaissance du programme 
de verification ou de travail (ou programme d’intervention) contenant les 
objectifs, va pouvoir reaUser sur le terrain les travaux d’audit. Tout commence 
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par une reunion au cours de laquelle le deroulement previsionnel de la mis- 
sion d’audit (reunions intermediates, redaction du rapport), sans oublier la 
logistique, devra etre rappele. 

Le travail terrain : les verifications 

C’est la partie la plus repetitive de la fonction. EUe fait appel a des techniques 
(interviews, observation physique, sondages, examen analytique, narration, 
«floiv chart », grille d’ analyse des taches) et a des moyens (questionnaire de 
controle interne, tableaux de risques, feuiUe de test ou de couverture, feuiUe 
de revelation et d’analyse des problemes). Concretement, I’auditeur sur le 
terrain va proceder a des tests et a des observations elaborees a I’aide des 
questionnaires et au cours desquels il met en oeuvre les feuihes de couverture 
ou feuiUe de test. Celle-ci doit indiquer I’objectif et la periode du test, les 
tests a realiser, les conclusions sur chaque element controle et la conclusion 
generale. Chaque dysfonctionnement constate debouche sur I’etabUssement 
d’une feuiUe de revelation et d’analyse des problemes (FRAP) encore appe- 
lee « FeuiUe des risques », ou « FeuiUe d’ evaluation du controle interne » ou 
« FeuiUe des risques referentiels ». 

La feuiUe des risques est un document tres utilise par les services d’audit des 
entreprises nationales et internationales pour synthetiser les informations 
relatives a un risque ou a un dysfonctionnement constate. Le schema n° 6 ci- 
apres presente la structure d’une FRAP. 


Papier de travail 


FRAP n° 

Probleme (ou type de risque) identifie : 


Constat : 



Causes explicatives : . 



Consequences : 



Solutions proposees : 



Etablie par : 

.. Approuvee par : ... 

Validee avec : 

le : le : 

le : 



Schema n° 6 - FeuiUe de Revelation et d’Analyse des Probiemes ou feuilie de risque 

La validation des constats et des conclusions 

L’auditeur doit systematiquement valider ses constats ou ses conclusions en 
les presentant a la connaissance du responsable afin de recueiUir sa reaction 
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sur les elements de preuve recueiUis. Chaque FRAP est supervisee par le chef 
de mission qui I’apprecie, situe sa place et son degre d’importance par rap- 
port a la mission. Les validations individueUes et successives sont suivies de 
validations generales en fin de mission (la reunion de cloture). Tons les docu- 
ments utilises par I’auditeur interne durant la phase de realisation, appeles 
papiers de travail, sont references. L’ensemble des FRAP apres reclassement 
constitue l’« ossature » du rapport d’audit. 

La phase de restitution des resultats de I’audit : le rapport d’audit 

Toute mission d’audit s’acheve par la redaction d’un rapport. C’est pourquoi 
au cours de cette phase, il convient d’obtenir I’adhesion des membres de 
I’equipe d’auditeurs et des audites impliques dans la mission lors de la reu- 
nion de cloture. 

CeUe-ci constitue un moment privilegie puisqu’elle offre aux auditeurs 
I’occasion de presenter les conclusions generales de la mission et de recueiUir 
les objections ou les precisions, voire les contestations des audites qui leur 
seront utiles pour rediger le rapport d’audit. 

Ce dernier est prevu par la norme 2 440 de I’audit interne^ qui enonce clai- 
rement que c’est au responsable qu’incombe la charge de communiquer les 
resultats de I’audit. Ce rapport fait apparaitre les mentions suivantes : 

* une page de garde comprenant le titre complet de la mission, la date, les 
auditeurs ayant participe a la mission ; 

* I’ordre de mission, qui doit etre place en tete du rapport ; 

* le sommaire ; 

• une note de synthese de deux a trois pages permettant aux destinataires 
principaux du rapport d’avoir I’essentiel des conclusions du travail 
d’audit, datee et signee par le chef de mission ; 

• le rapport proprement dit ; 

• les annexes. 

Toutefois, il n’y a pas d’unanimite sur la forme du rapport d’audit dans les 
entreprises (Renard, 2006). Pour certains auditeurs internes, « le rapport doit 
done etre redige, comme un rapport doit I’etre selon la tradition ». Pour 
d’autres auditeurs internes, le rapport d’audit doit etre construit sous forme 
de chapitres ou par cycle. Dans chaque cycle, I’auditeur expose ses remarques 
point par point, selon la structure de la FRAP : le probleme, les faits, les cau- 
ses, les consequences et les recommandations. 


o 

@ 


1. Les Normes professionnelles pour la pratique de I’audit interne ont ete publiees en 
langue fran^aise et sont disponibles sur le site Internet de I’lfAcI, www.ifaci.com. 
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En pratique 

Generalement, le rapport d'oudit comporte une presentation de I'entite 
(lieu, organigramme, description des procedures appliquees) ; une ana- 
lyse de I'orgonisation et du fonctionnement (problemes structured rencon- 
tres, analyse critique des toches/processus/fonctions) ; une analyse 
economique et finonciere mettant en evidence les eventuelles inexactitudes 
ou irregulorites et enfin une opinion ou un jugement sur les dysfonctionne- 
ments par cycle ou operation qui doivent etre suivis des conclusions et des 
recommondations. 


Organisation et methodologie de I'audit interne 

Les problematiques liees a rorganisation et a la methodologie de I’audit 
interne evoluant a I’international ont ete examinees dans une enquete par 
questionnaire aupres des directeurs d’audit interne des grands groupes fran- 
f ais. L’objectif etait de mettre en evidence les approches organisationneUes et 
methodologiques des services d’audit interne fran^ais evoluant sur le plan 
international. Les caracteristiques de I’echantiUon seront exposees avant la 
syn these des resultats obtenus. 

Caracteristiques de I'echantillon 

Ces caracteristiques seront appreciees a travers quatre points : la population 
interrogee, les entreprises de I’echantiUon, les repondants au questionnaire 
adresse et la taiUe des entreprises de I’echantillon. 

L’enquete a ete effectuee de janvier a mars 2007 aupres des entreprises a 
capitaux prives et semi-publics ayant des implantations tant en France qu’a 
I’etranger (filiales). 

Le questionnaire a ete adresse a quinze grands groupes internationaux dispo- 
sant de service d’audit interne appartenant aux secteurs economiques suivants : 
grande distribution, automobile, telecommunications, prestations de services 
aux entreprises, assurances, banques, transports. L’ administration du question- 
naire s’est deroulee par I’envoi d’un questionnaire par courrier electronique. 
En depit de relances, seules quatre entreprises ont repondu, ce qui correspond 
a un taux de retour de 26,70 %. Les secteurs representes sont les suivants : 

• grande distribution : 1 ; 

• automobile : 1 ; 

• telecommunications : 1 ; 

• prestations de services aux entreprises : 1 . 
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Si ce taux de reponse presente une valeur descriptive interessante au niveau 
de I’analyse des resultats, sa valeur predictive restera limitee aux entreprises 
de I’echantiUon. Quant aux repondants, ce sent trois directeurs d’audit 
interne et un superviseur. 

Les resultats de I'enquete 

Ils portent sur les aspects suivants : taiUe de I’entreprise, evolution de la fonction 
de I’audit interne, organisation du service d’audit dans les grands groupes, ratta- 
chement du service d’audit interne, identification des risques « groupe », cons- 
truction du plan d’audit et conduite d’une mission d’audit a I’international. 

La taille de I’entreprise 

La taille de I’entreprise appreciee au travers de I’effectif et du chiffre d’affaires 
est consideree comme un element determinant de la creation de la fonction 
d’audit dans une entreprise nationale ou internationale. Les resultats de notre 
enquete (tableau n° 5 ci-apres) vont dans le sens de cette hypothese. 

Tableau n” 5 - Taille de I’entreprise 


Taille 

Societe C 

F 

Societe 0 

R 

Effectifs 

220 000 

191 000* 

47 000 

12 000 

Chiffre d’affaires 

25 milliards 
d’euros 

51 ,7 milliards 
d’euros 

1 015 632 K** 

44 milliards 
d’euros 


*Effectifs du groupe au 31/12/2006 ; **chiffre d'affaires au 31/12/2005. 

11 apparait qu’en termes d’effectifs, les grands groupes disposant de services 
d’audit interne affichent des effectifs compris entre 12 000 et 220 000 sala- 
ries repartis dans le monde entier. C’est le secteur de la grande distribution 
qui emploie le plus de salaries, suivis du prestataire de service aux entreprises, 
de celui des telecommunications et enfin celui de I’automobile. En termes 
de chiffre d’affaires, le secteur des telecommunications se detache nettement, 
suivi de I’automobile. 

L’ evolution de la fonction d’audit interne 

L’ audit interne a ete defini par I’ll A comme « une activite independante et 
objective qui donne a une organisation une assurance sur le degre de maitrise 
de ses operations, lui apporte ses conseils pour les ameliorer, et contribue a 
creer de la valeur ajoutee. 11 aide cette organisation a atteindre ses objectifs en 
evaluant, par une approche systematique et methodique, ses processus de 


iroupe Eyrolles 


© Groupe Eyrolles 


Organisation et methodologie de I'audit interne 47 


management des risques, de controle et de gouvernement d’entreprise et en 
faisant des propositions pour renforcer son efficacite ». Cette definition assi- 
gne a I’audit la mission de contribuer au management des risques et a la 
bonne gouvernance de I’entreprise. Dans ce cadre, aux Etats-Unis et en 
France notamment, des lois ont ete votees. En France, la loi LSF exige du 
president un rapport sur le controle interne. L’auditeur interne a pour mission 
d’evaluer le dispositif de controle interne mis en place. Cette responsabiUsa- 
tion legislative du president en matiere de controle a-t-elle eu une incidence 
sur la fonction de I’auditeur interne, notamment au niveau de la pratique de 
I’audit, des missions et des moyens ? 11 etait aussi important de savoir si I’audi- 
teur participait au processus d’elaboration du rapport sur le controle interne. 
Les reponses a ces questions sont resumees dans le tableau n° 6. 

Tableau n” 6 - Evolution de la fonction audit interne 


Questions 

Societe 

C 

Societe 

F 

Societe 

0 

Societe 

R 

Estimez-vous que les lois LSF et SOX ont eu 





une grande influence sur la fonction d’audit 

oui 

oui 

oui 

oui 

interne ? 





Si oui, cette influence se situe-t-elle au niveau : 





- de la pratique d’audit ? 





- des missions ? 

non 

non 

oui 

non 

- des moyens ? 

oui 

oui 

oui 

oui 


non 

non 

non 

oui 

L’auditeur interne participe-t-il directement dans 





votre societe, au processus d’elaboration du rap- 

oui 

non 

oui 

oui 

port sur le controle interne ? 






Selon ce tableau, les lois LSF et SOX ont eu une grande influence sur la 
fonction d’ audit interne au niveau des missions notamment. En revanche, 
pour un auditeur seulement sur trois, cette influence se situe au niveau de la 
pratique et des moyens. En d’autres termes, les lois n’ont pas eu d’impact sur 
la pratique d’audit et sur les moyens offerts aux auditeurs internes. Trois audi- 
teurs sur quatre reconnaissent que I’auditeur interne participe directement au 
processus d’elaboration du rapport sur le controle interne. Cette situation 
devrait influer sur le rattachement hierarchique de I’auditeur interne. 

Le rattachement hierarchique de la direction de I’audit interne 

Le positionnement hierarchique est le meilleur indicateur pour apprecier le 
role et I’importance et par consequent le pouvoir ou I’influence de I’audit 
interne dans une entreprise. 
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Une direction d’audit interne pent etre rattachee, comme il a ete deja men- 
tionne, a la direction generale on an conseil d’ administration et/ou an 
comite d’audit, soit enfin a une direction operationnelle. Ce dernier cas est 
rare dans les grands groupes^ Le tableau n° 7 fournit quelques elements de 
reponse. Pour un directeur d’audit interne sur quatre, la direction de I’audit 
est rattachee hierarchiquement au president du conseil d’ administration ou 
de surveillance ; une direction de I’audit interne sur quatre est egalement rat- 
tachee hierarchiquement au comite d’audit. 11 en est de meme pour la direc- 
tion generale. Pour deux auditeurs interroges sur quatre (50 %), la direction 
de I’audit interne est hierarchiquement rattachee au P-DG. Le rattachement 
de I’audit interne a la direction generale du groupe lui confererait des fonc- 
tions plus etendues que la simple verification deleguee a la filiale du controle 
interne. Son action pent s’etendre a des audits d’efficacite des fonctions et a 
des missions d’appui aux filiales sur differents sujets. 

La tendance actueUe dans les grands groupes internationaux frangais est au 
rattachement de la direction de I’audit interne au conseil d’administration ou 
au comite d’audit. L’objectif clairement affiche est de renforcer le role du 
conseil d’administration en le dotant des moyens de controle de Paction 
manageriale. C’est implicitement aussi une facon de reconnaitre I’auditeur 
interne comme un acteur cle et majeur de la gouvernance d’entreprise. Plus 
le groupe est important en termes de taiUe, plus I’audit interne sera renforce 
et tendra a devenir le ciment principal de controle du groupe (HafFen, 1999). 

Tableau n° 7 - Le rattachement hierarchique du service d’audit interne en contexte 

international 


Questions 

Societe 

C 

Societe 

F 

Societe 

0 

Societe 

R 

Le service d’audit central est-il rattache 
hierarchiquement au president du conseil 
d’administration ou du conseil de 
surveillance ? 

oui 

non 

non 

non 

Si non, est-il rattache : 





- au comite d’audit ? 


oui 

non 

non 

- au DG ? 


non 

non 

oui 

- au P-DG ? 


oui 

oui 

non 


1. Le rattachement du service d’audit interne a une direction operationneUe n’a pas fait 
Tobjet d‘une enquete ici. 


o 
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L’organisation du service d’audit interne 

Dans les grands groupes, le service d’audit interne est unique ou decentra- 
lise. Les resultats figurant au tableau n° 8 font apparaitre que tons les grands 
groupes possedent un service d’audit interne. Ce dernier pent etre centralise 
ou decentralise. Les quatre societes faisant partie de notre echantillon posse- 
dent toutes un service d’audit interne central. Ce dernier est, pour quatre 
societes sur quatre, segmente en sous-services. Mais aucun service n’est 
eclate par pays ou par zone. 11 est interessant d’observer que deux societes sur 
quatre ayant un service d’audit central ont aussi decentralise leur service 
d’audit interne. Malgre la dispersion geographique (multisites), le service 
d’audit interne reste neanmoins centralise. Pour une societe disposant d’un 
service d’audit interne a la fois central et decentralise, les effectifs du service 
d’audit decentralise seraient plus importants que ceux du siege. Des raisons 
economiques (reduction des frais lies notamment aux deplacements des 
auditeurs du siege aux fiUales) expUqueraient cette situation. En effet, un ser- 
vice d’audit decentralise, plus important en effectifs, est principalement 
charge de s’assurer que la qualite du controle interne est satisfaisante et ceci 
concerne toutes les functions de la filiale.Toute faiblesse doit etre signalee au 
niveau du service central. 

Tableau n° 8 - Organisation du service d’audit interne 


Questions 

Societe 

C 

Societe 

F 

Societe 

0 

Societe 

R 

Votre entreprise evoiue-t-eile sur le plan 
international ? 

oui 

oui 

oui 

oui 

Si oui, le service d’audit interne est-il unique ou 
central ? 

oui 

oui 

oui 

oui 

Si oui, est-il segmente en sous-services ? 

non 

oui 

non 

oui 

Si non, les services d’audit interne sont-ils ecla- 
tes par pays ou zone ? 

NR* 

NR 

NR 

non 

Le service d’audit interne de votre societe est-il 
decentralise ? 

oui 

oui 

non 

non 

Si oui, le service d’audit decentralise est-il plus 
important que celui situe au siege en 
termes d’effectifs ? 

oui 

non 

NR 

NR 


.../... 
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Si oui, son role consiste-t-il simplement a : 

- controler la fiabilite des informations transmises 

NR 

NR 

NR 

NR 

au siege ? 

- s’assurer du respect des procedures du 

oui 

NR 

NR 

NR 

groupe ? 

- les deux ? 

NR 

NR 

NR 

NR** 

- autres (preciser) 

NR 

NR 

NR 



*Non-reponse 


**// s’agit d’un service d’audit unique, ayant competence sur i’ensemble des activites du groupe 

La responsabilite dans I’identification des risques « groupe » 

Les risques auxquels les entreprises sont aujourd’hui exposees font intervenir 
plusieurs acteurs charges de les identifier et de proposer des solutions visant a 
les maitriser. Les auditeurs et les risk managers sont les principaux acteurs. 
Selon les resultats figurant au tableau n° 9, si, pour deux societes sur quatre 
faisant partie de notre echantiUon la responsabilite de I’identification des ris- 
ques inconibe aux risk managers, ils sont aussi deux a attribuer cette responsa- 
bilite aux auditeurs internes. Pour une entreprise sur quatre, cette 
responsabilite est assumee par les deux acteurs. 

Tableau n" 9 - Identification des risques groupe 


Questions 

Societe 

C 

Societe 

F 

Societe 

0 

Societe 

R 

La cartographie des risques dans votre 
societe est-elle realisee par : 

- un risk manager groupe ? 

non 

oui 

non 

oui 

- des auditeurs internes ? 

oui 

non 

oui 

NR 

- les deux ? 

Si oui, les auditeurs internes interviennent- 
ils dans I’identification des risques ? 

non 

non 

non 

oui 


La structure du plan d’audit en contexte international 

Des raisons economiques peuvent amener le service d’audit central a ne pas 
integrer dans la construction du plan d’audit des missions « groupes ». 11 pent 
aussi preferer des missions mixtes. Selon le tableau n° 10, la construction du 
plan d’audit en contexte international integre a la fois des missions groupes 
et des missions mixtes pour trois societes sur quatre interrogees. Une seule 
societe declare n’integrer dans son plan d’audit que des missions « groupes ». 


o 
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Tableau n° 10 - Construction du plan d’audit en contexte international 


Questions 

Societe 

C 

Societe 

F 

Societe 

0 

Societe 

R 

La construction du plan d’audit de votre 
soclete comprend-elle : 

- des missions « groupes » (auditeurs du 

oui 

oui 

oui 

oui 

groupe) ? 

- des missions mixtes (auditeurs groupes et 
auditeurs zones, filiales) ? 

oui 

oui 

oui 

non 


Source : adapts de Lemant O. (1995, sous la direction de). 


Pour conclure... 

L'audit interne est une fonction organisee sur le plan international. Ainsi, sa 
methodologie en contexte international n'est pos fondomentolement differente de 
celle deployee pour conduire une mission d'oudit interne ou niveau notional. Elle 
s'oppuie sur les normes et les modolites pratiques d'opplicotion edictees par I'llA, 
troduites et adoptees dons choque chopitre notional, dont I'lfAcI en France. D'outres 
organisations regionoles (EClIA, OCDE) et les directives europeennes contribuent 
egolement d mettre en place de bonnes pratiques en motiere d'oudit interne et de 
gouvernonce d'entreprise et permettent egolement de se « benchmorker ». Il est 
opporu neonmoins qu'un certain nombre de bonnes pratiques sont observees pour 
mener une mission d'oudit interne, notomment ou niveau de I'identificotion des 
risques groupes, de lo construction du plan d'oudit et ou niveau des bonnes 
pratiques pour s'odopter oux differents environnements. De meme, les entreprises 
evoluont d I'internotionol odoptent une structure centrolisee ou decentrolisee de leur 
service. Le choix d'une structure par rapport d une outre depend oussi des enjeux du 
groupe et du role qu'il entend foire jouer d I'audit interne. 
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Chapitre 2 


Une comparaison des principaux 
referentiels de contrdle interne 

Par Louis Vaurs, 

Delegue General de I'lfAcI, 

ET Florence Fradin 

Responsable de la Recherche d I'lfAcP 


^ la suite des nombreux scandales financiers qui ont secoue les entrepri- 
ses americaines a la fin des annees 1990 et au debut des annees 2000, 
les Etats-Unis ont adopte le 30juillet 2002, le Sarbanes-Oxley Act 
(SOX). Selon farticle 404 de cette loi, le directeur general et le directeur 
financier doivent se declarer responsables de la mise en place et du maintien 
d’un processus de controle interne comptable et financier au sein de leur 
entreprise et proceder a une evaluation de son efficacite au regard d’un 
modele de controle interne reconnu. Les auditeurs externes doivent quant a 
eux emettre une opinion sur son efEcacite. 

Pour la mise en oeuvre de cette section 404, la Securities and Exchange 
Commission (SEC) et le Public Company Accounting Oversight Board 
(PCAOB) ont fortement recommande aux entreprises americaines et etran- 
geres cotees a New York d’adopter comme referentiel de controle interne le 
document americain pubhe en 1992 et intitule Internal Control — Integrated 
Framework » ou COSO^. 

De ce fait, le COSO, qui etait tres largement utilise aux Etats-Unis, s’est vu 
adopte par de nombreuses societes etrangeres (notamment franpaises) cotees 
a New York. 


1 . Depuis octobre 2006, Florence Fradin est Responsable Doctrine, Referentiel et Qua- 
lite a rinspection generale de BNPParibas. 

2. Le cadre de reference centre sur le controle interne, auquel il sera fait reference tout au 
long de ce chapitre, ne doit pas etre confondu avec le cadre de reference pour la ges- 
tion des risques. Elabore par le meme groupe de travail et, par comniodite, appele le 
COSO 2, il a ete diffuse en septembre 2004. 


54 ['organisation et b conduite de I'audit interne en environnement international 


II est toutefois admis que Ton peut utiliser tout autre cadre s’il a ete etabM par 
un corps d’experts, a ete debattu publiquement et s’il integre des elements 
qui englobent tous les themes du COSOb Les recommandations sur le 
controle interne publiees en 1995 par I’lnstitut canadien des Comptables 
Agrees et connu sous le nom de COCO, et I’lnternal Control Guidance for 
Directors on the Combined Code, developpe en 1999^ par I’lnstitut des 
Experts-Comptables d’Angleterre et du Pays de GaUe, communement appele 
le Turnbull Guidance ou Turnbull, semblent repondre aux exigences du 
PCAOB et de la SEC. Bon nombre de societes anglaises et canadiennes, sou- 
mises au SOX, ont choisi malgre tout le COSO comme cadre de reference. 

Si Ton veut etre tres puriste, seuls le COSO et le COCO peuvent etre consi- 
deres comme de veritables referentiels. En effet, le Turnbull s’apparente 
davantage a un guide a I’attention des administrateurs d’une societe cotee 
pour les aider a etablir et a reviser le systeme de controle interne. 

Le aout 2003 etait promulguee en France la loi de securite financiere 
(LSF). Son article 117 cree I’obligation pour le president du conseil d’admi- 
nistration ou du conseil de surveillance de rendre compte des procedures de 
controle interne mises en place par la societe^. En avril 2005, 1’Autorite des 
Marches Financiers (AMF) a confie a un groupe de travail de « Place », le 
chorx et/ou I’adaptation d’un referentiel de controle interne a I’usage des 
societes fran^aises soumises aux obligations de la loi du aout 2003, en pre- 
cisant que « le referentiel devait constituer un outil de gestion au service des 
entreprises faisant appel public a I’epargne ». Les travaux du groupe de place 
ont ete valides par I’AMF et pubMes en decembre 2006 sous le titre « Le dis- 
positif de controle interne : cadre de reference ». 

Sur le plan europeeM, les autres pays n’ont pas adopte de referentiel specifi- 
que a I’exception du Royaume-Uni et de I’lrlande (TurnbuU Report). 
Precisons que les Pays-Bas considerent que le COSO constitue un modMe 
sur lequel on peut s’appuyer, mais que d’autres sont possibles. 


1 . SEC 8 avril 2004 : extrait du decret d’application de SOX. 

2. II a fait I’objet d’une mise a jour par le Financial Reporting Council en 2005. 

3. Appliquee a son origine a I’ensemble des societes anonymes, I’obligation pour le presi- 
dent du conseil d’administration ou de surveillance d’etablir un rapport a ete limitee 
en juillet 2005 par la loi pour la confiance et la modernisation de I’economie 
(Loi Breton) aux seules societes anonymes faisant appel public a I’epargne. 

4. Donnees issues du document Risk Management Control in EU- Discussion Paper public 
par la Federation des Experts Comptables Europeens (FEE) en 2004. 
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Deux de ces trois referentiels etrangers cites ci-dessus ont ete elabores essen- 
tieUement par des comptables : le COCO par I’lnstitut canadien des Comp- 
tables agrees et le Turnbull par I’lnstitut des Experts Comptables 
d’Angleterre et du Pays de GaUe. Le COSO a ete redige, quant a lui, par un 
groupe de travail a dominante comptable et fmanciere, mais dans lequel I’llA 
a joue un role de tout premier plan. Si ITIA n’a pas fait du COSO le referen- 
tiel officiel de controle interne des auditeurs internes, il en a fortement 
recommande I’usage. 

Pour ce qui est du cadre de reference (CDR) de I’AMF, il a ete redige par les 
representants des entreprises (MEDEF\ AFEP“, Middlenext^) et des institu- 
tions comptables (CNCO^ et CSOEC^) et par des personnalites quaUfiees 
appartenant notamment a I’lFA^, I’lfAcl, I’AMRAE^ et aux « big four ». 

Les recommandations du COCO s’appliquent a tous les types 
d’organisation : aux organismes des secteurs public et prive a but lucratif, 
organismes sans but lucratif, administrations centrales ou locales. Celles du 
COSO ont pour ambition de s’appliquer a toutes les societes y compris 
celles de taille modeste, pour lesqueUes des recommandations specifiques 
sont elaborees. Le Turnbull, fonde sur un certain nombre de principes et 
soucieux de mettre en exergue I’importance du management des risques, est 
devenu non seulement le guide des societes cotees a Londres, mais aussi celui 
des organisations du secteur public et des associations sans but lucratif britan- 
niques. Meme s’il est destine en priorite aux societes soumises a la LSF, le 
CDR AMF devrait pouvoir etre adopte par toute organisation, qu’eUe soit 
du secteur public, prive ou du monde associatif 

Tous ces referentiels comportent certes de nombreux points communs. 
Quelques nuances et divergences — tant sur la forme que sur le fond - 
peuvent cependant etre mises en exergue. Ce chapitre a pour objectif de pre- 
senter une etude comparative de ces quatre referentiels de controle interne 


1 . Mouvement Des Entreprises de France. 

2. Association Franfaise des Entreprises Privees. 

3. Coniite des valeurs moyennes europeennes. 

4. Compagnie Nationale des Comniissaires aux Comptes. 

5. Conseil Superieur de I’Ordre des Experts Comptables. 

6. Institut Franfais des Administrateurs. 

7. Association pour le Management des Risques et des Assurances de I’Entreprise. 

8. Notons qu’en France, le reglement du Comite de la Reglementation Bancaire et 
Financiere (CRBF) n°97-02 constitue le referentiel de controle interne des etablisse- 
nients bancaires et financiers. 
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(COSO, coco, Turnbull, CDRAMF). A cette fin, les trois dimensions 
suivantes seront analysees : 

* la portee du controle interne ; 

* les composantes du controle interne ; 

* les acteurs du controle interne et leur responsabdite. 


La portee du controle interne 

Nous nous attarderons sur la definition et les objectifs du controle interne, 
son champ et ses limites, son efficacite et son perimetre. 


Objectifs 

Tons les referentiels s’accordent pour definir le controle interne comme un 
ensemble de moyens aidant une organisation a atteindre ses objectifs. Le 
CDR AMF n’a pas defini le controle interne comme etant un « processus ». 
II a hesite entre « systeme » et « dispositif » pour s’arreter en definitive a dis- 
positif en insistant beaucoup sur le fait que c’est un dispositif de la societe, 
defini et mis en oeuvre sous sa responsabdite. Le CDRAMF a retenu 
comme le COSO une definition elargie du controle interne. Alors que la 
LSF, dans son article 117, ne parle que de procedures de controle interne, le 
CDRAMF precise d’entree que le controle interne ne se limite pas a un 
ensemble de procedures ni aux seuls processus comptables et financiers. 

Les quatre referentiels identifient les trois memes categories d’objectif : I’effi- 
cacite et I’efficience des operations, la fiabilite des informations financieres, 
la conformite aux lois et aux reglements en vigueur. Le CDRAMF n’a 
cependant pas utilise le vocable « objectif », afin d’eviter toute confusion 
entre objectifs de controle interne et objectifs de I’entreprise. 

Le COCO et le TurnbuU ont complete ces trois objectifs, en elargissant les 
notions de fiabilite de I’information et de conformite aux lois et reglements 
en vigueur. Ainsi, pour ces deux referentiels, I’information en provenance de 
I’interieur comme de I’exterieur de I’organisation doit etre fiable et la confor- 
mite s’entend aussi de la conformite de I’organisation avec ses politiques 
internes. Dans la meme veine, la definition du CDR AMF indique que le 
controle interne vise egalement a assurer I’application des instructions et des 
orientations de la direction generale et le bon fonctionnement des processus 
internes de la societe. 
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Notons enfin que le Turnbull et le CDR AMF sont les seuls a aborder la 
notion de risque dans leur definition du controle interne. 

Definition 

Selon le COSO : « Le controle interne est un processus mis en oeuvre par le 
conseil d’ administration, les dirigeants et le personnel d’une organisation, 
destine a fournir une assurance raisonnable quant a la realisation des objectifs 
suivants : 

* realisation et optimisation des operations ; 

* fiabiUte des informations financieres ; 

* conformite aux lois et aux reglementations en vigueur. » 

Pour le COCO : « Le controle interne est constitue des elements d’une 
organisation (y compris les ressources, les systemes, les processus, la culture, 
la structure, et les taches) qui collectivement aident les gens a realiser les 
objectifs de I’organisation qui font partie des trois categories suivantes : 

* eliicacite et efEcience du fonctionnement ; 

* fiabiHte de I’information interne et externe ; 

* conformite aux lois, aux reglements et aux politiques internes. » 

La definition du Turnbull, eUe, est la suivante : « Un systeme de controle 
interne englobe les politiques, processus, taches, comportements et autres 
aspects d’une entreprise qui, combines : 

* facilitent I’efficacite et I’efficience des operations en aidant la societe a 
repondre de maniere appropriee aux risques commerciaux, operation- 
nels, financiers, de conformite et tout autre risque, afin d’atteindre ses 
objectifs ; ceci inclut la protection des actifs contre un usage inapproprie, 
la perte et la fraude, et I’assurance que le passif est identifie et gere ; 

* aident a assurer la qualite du reporting externe et interne ce qui necessite 
de conserve!' les enregistrements appropries et de maintenir des processus 
qui generent un flux d’informations pertinentes et fiables en provenance 
de I’interieur et de I’exterieur de I’organisation ; 

* aident a assurer la conformite aux lois et reglements ainsi qu’aux politi- 
ques internes relatives a la conduite des affaires. » 

Enfin, selon le CDR AMF, « le controle interne est un dispositif de la 
societe, defini et mis en oeuvre sous sa responsabilite. II comprend un ensem- 
ble de moyens, de comportements, de procedures et d’actions adaptes aux 
caracteristiques propres de chaque societe qui : 
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* contribue a la maitrise de ses activites, a TefFicacite de ses operations et a 
Tutilisation efFiciente de ses ressources ; 

* doit lui permettre de prendre en compte de maniere appropriee les ris- 
ques significatifs, qu’ils soient operationnels, financiers on de 
conformite. » 

Le dispositif vise plus particulierement a assurer : 

* la conformite aux lois et aux reglements ; 

* fappMcation des instructions et des orientations fixees par la direction 
generale ou le directoire ; 

* le bon fonctionnement des processus internes de la societe, notamment 
ceux concourant a la sauvegarde de ses actifs ; 

* la fiabilite des informations financieres. 


Le champ du controle interne 

Ce que le controle interne ne recouvre pas est precise par les CDR AMF, 
COSO et COCO. Ce dernier donne au controle interne un champ plus 
etendu que ne le prevoit le COSO. Pour ce dernier, ne font pas partie du 
controle interne : 

* I’elaboration des objectifs de I’organisation, de sa mission et du chiffrage 
des performances ; 

* les plans strategiques ; 

* la determination des objectifs de chaque activite ; 

* la gestion des risques ; 

* les actions correctives. 

Pour le COCO, le champ de controle interne inclut certains aspects particu- 
liers de la gestion que le COSO exclut. Ainsi, si le COCO considere que le 
controle interne ne vise pas a prescrire les objectifs a etablir et que les deci- 
sions relatives au fait d’agir et a la fagon d’agir sont des aspects de la gestion 
qui ne font pas partie du controle, il estime que le controle interne pent 
contribuer a assurer que les personnes chargees du suivi et de la prise de deci- 
sion disposent d’informations appropriees et fiables et permet de suivre les 
resultats des actions ou des decisions de ne pas agir et de faire un rapport a 
leur egard. 

Enfin pour le CDR AMF, le controle interne ne recouvre pas toutes les ini- 
tiatives prises par les organes dirigeants ou le management, par exemple la 
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definition de la strategie de la societe, la determination des objectifs, les deci- 
sions de gestion, le traitement des risques on le suivi des performances. 


Limites du controle interne 

Les quatre referentiels s’accordent a dire qu’il existe des limites inherentes a 
tout systeme ou dispositif de controle interne et qu’il ne peut fournir qu’une 
assurance raisonnable que I’organisation pourra atteindre ses objectifs. 

Alors que le COSO, le COCO et le CDRAMF ajoutent la notion 
« d’equiUbre couts-avantages », c’est-a-dire I’obligation pour les organisa- 
tions de comparer les couts et les avantages relatifs des controles avant de les 
mettre en oeuvre, le Turnbull cite I’occurrence de circonstances imprevisibles 
conmie etant une autre limite inherente au controle interne. 

Selon le COCO, on peut attendre du controle interne qu’il procure une 
assurance raisonnable, mais non une assurance absolue. A cela, deux raisons. 
Tout d’abord, il existe des limites inherentes au controle (erreurs de juge- 
ment survenant dans la prise de decision, defaiUances attribuables a des 
erreurs humaines, collusion permettant de faire echec aux activites de con- 
trole, controle outrepasse par la direction) . En outre, il est necessaire de tenir 
compte de I’equilibre couts/avantages dans la conception du controle au sein 
des organisations. 

Le controle ne peut empecher la prise de decisions strategiques et operation- 
neUes qui, a posteriori, s’avereront mauvaises. 

Selon le Turnbull, un systeme de controle interne reduit, mais ne peut elimi- 
ner la possibilite d’un mauvais jugement lors de prises de decision, I’erreur 
humaine, les controles contournes de maniere deliberee par les employes, les 
controles outrepasses par le management ni I’occurrence de circonstances 
imprevisibles. Un systeme de controle interne procure une assurance raison- 
nable, mais non absolue que I’entreprise pourra atteindre ses objectifs. 

Quant au COSO, il stipule que tout systeme de controle interne ne peut 
fournir au plus qu’une assurance raisonnable au management et au conseil 
d’administration quant a la reaHsation des objectifs de I’entreprise. La proba- 
biUte d’ atteindre ceux-ci est soumise aux limites inherentes a tout systeme de 
controle interne, qu’U s’agisse, par exemple, d’un jugement errone, de dys- 
fonctionnements dus a des defaiUances humaines ou a de simples erreurs. En 
outre, la collusion entre deux personnes ou plus permet de contourner les 
controles et il est toujours possible aux dirigeants d’« outrepasser » le systeme 
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de controle interne. Une autre limite reside en outre dans la necessite de 
tenir compte du cout des controles et de le comparer aux avantages attendus. 

Enfin, selon le CDRAMF, le dispositif de controle interne, aussi bien 
conq:u et applique soit-il, ne peut fournir une garantie absolue quant a la rea- 
lisation des objectifs de la societe. La probabdite d’atteindre ces objectifs ne 
releve pas de la seule volonte de la societe. 11 existe en eibet des limites a tout 
systeme de controle interne. Ces limites resultent de nombreux facteurs, 
notamment des incertitudes du monde exterieur, de I’exercice de la faculte 
de jugement ou de dysfonctionnements pouvant survenir en raison d’une 
defadlance humaine ou d’une simple erreur. En outre, lors de la mise en 
place des controles, il est necessaire de tenir compte du rapport cout/bene- 
fice et de ne pas developper des systemes de controle interne inutilement 
couteux, quitte a accepter un certain niveau de risque. 


Uefficacite du controle interne 

Cette notion absente du Turnbull (qui se contente de defmir les elements 
d’un systeme sain de controle interne) est evoquee par le COSO et le 
COCO. Le CDRAMF prefere insister sur la pertinence du systeme de 
controle interne. Selon celui-ci, des regies de conduite et d’integrite portees 
par les organes de gouvernance et I’exemplarite sont des prealables a la mise 
en oeuvre d’un bon dispositif de controle interne et conditionne son effica- 
cite et sa credibilite. 

Selon le COSO, le systeme de controle peut-etre juge efficace lorsque le 
conseil d’administration et le management estiment qu’Us disposent d’une 
assurance raisonnable leur permettant de considerer : 

• qu’ils savent clairement dans quelle mesure les objectifs operationnels de 
I’entite seront atteints ; 

• que les etats financiers sont etablis sur une base fiable ; 

• que I’entreprise respecte les lois et les reglements en vigueur. 

Le COSO precise qu’apprecier I’efficacite d’un systeme de controle interne 
est un jugement subjectif fonde sur la presence des cinq elements et leur 
fonctionnement efficace. 

Selon le COCO,le controle designe ce qui permet a une organisation d’etre 
fiable dans la realisation de ses objectifs. Le controle est efficace lorsqu’il pro- 
cure une assurance raisonnable que I’organisation reaUsera ses objectifs, 
autrement dit lorsque les risques residuels (non controles) de non-realisation 
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des objectifs de rorganisation sont juges acceptables. Le controle comprend 
done I’identification et la reduction des risques. Ceux-ci ne se limitent pas 
aux risques connus lies la realisation d’un objectif precis. 11s coniprennent 
egalement deux risques plus fondamentaux qui menacent la viabilite et le 
succes de I’organisation : 

* que ceUe-ci ne conserve pas sa capacite d’identifier et de mettre a profit 
les opportunites ; 

• qu’eUe ne conserve pas sa souplesse. La souplesse s’entend de la capacite 
de I’organisation de reagir et de s’adapter lorsque des risques et des 
opportunites imprevus se manifestent. 

Enfin selon le CDR AMF, les grandes orientations en matiere de controle 
interne sont determinees en fonction des objectifs de la societe. Le controle 
interne est d’autant plus pertinent qu’il est fonde sur des regies de conduite 
et d’integrite portees par les organes de gouvernance et communiquees a 
tons les coUaborateurs. 11 ne saurait en effet se reduire a un dispositif pure- 
ment formel en marge duquel pourraient survenir des manquements graves a 
Fetbique des affaires. L’exemplarite est un principe fondateur, eUe constitue 
en effet un vecteur essentiel de la diffusion des valeurs au sein de la societe. 


Le perimetre du controle interne 

Seul le CDR AMF definit le perimetre du controle interne. Sachant que ce 
referentiel s’adresse essentieUement a de grandes entreprises, il rappeUe le 
principe de base selon lequel chaque societe doit mettre en place un disposi- 
tif de controle interne adapte a sa situation et precise le role de la societe 
mere a I’egard de ses filiales et de ses participations significatives. 

Selon le CDR AMF, il appartient a chaque societe de mettre en place un dis- 
positif de controle interne adapte a sa situation. 

En pratique 

Dans le cadre d'un groupe, la societe mere veille a I'existence de disposi- 
tifs de controle interne ou sein de ses filiales. Ces dispositifs devroient etre 
odoptes d leurs corocteristiques propres et oux relations entre la societe 
mere et les filiales. Pour les participations significatives, dans lesquelles la 
societe mere exerce une influence notable, il appartient d cette derniere 
d'apprecier la possibilite de prendre connaissance et d'examiner les mesu- 
res prises par la participation concernee en matiere de controle interne. 
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Les composantes du contrdle interne 

Apres avoir sommairement presente les composantes du controle interne au 
sein des quatre referentiels, le comparatif s’efFectuera a partir de la typologie 
etablie par le COSO. 

Remarquez que Ton trouve le meme nombre de composantes (cinq) et la 
meme approche pragmatique au sein du COSO et du CDR AMF : les com- 
posantes doivent etre adaptees a la taiUe et au secteur d’activite des societes. 
Toutefois, la denomination des composantes difiere le plus souvent et leur 
contenu d’apparence tres proche presente parfois quelques nuances qu’il faut 
savoir apprecier. Le COCO propose un modele reposant sur quatre criteres 
inter relies. Le Turnbull evoque seulement trois elements. 

Selon le COSO, le controle interne est compose de cinq elements 
interdependants : 

• r environnement de controle ; 

• revaluation des risques ; 

• les activites de controle ; 

• Finformation et la communication ; 

• le pilotage. 

Le COSO considere que ces elements doivent se retrouver dans toute entre- 
prise meme s’ils doivent etre instaures difFeremment au sein des PME. 

Selon le COCO, le controle interne est compose de quatre grands criteres 
inter relies, orientes vers Faction : ceux relatifs au but contribuent a affirmer 
Forientation de Forganisation ; ceux concernant Fengagement permettent 
d’afFirmer Fidentite et les valeurs de Forganisation ; les criteres relatifs a la 
capacite aident a affirmer la competence de Forganisation ; enfin ceux affe- 
rents au suivi et a Fapprentissage contribuent a affirmer Fevolution de Forga- 
nisation. 

Le Turnbull, lui, indique uniquement que le systeme de controle interne 
comporte : 

• les activites de controle ; 

• les processus d’information et de communication ; 

• les processus pour piloter et suivre Fefficacite du controle interne. 

Ces elements ne font pas Fobjet de parties detaiUees. Le Turnbull Report 
propose uniquement en annexe une liste de questions minimales que le 
conseil et le management doivent se poser afm d’evaluer le systeme de 
controle interne. 
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Selon le CDR AMF, le dispositif de controle interne comprend cinq com- 
posantes etroitement liees. Bien qu’eUes soient applicables a toutes les socie- 
tes, leur mise en oeuvre pent etre realisee difFeremment selon la taiUe et le 
secteur d’activite des societes. Ces cinq coniposantes sont une organisation 
adaptee, la diffusion en interne d’informations pertinentes, un systeme visant 
a recenser et analyser les principaux risques, des activites de controle, enfin 
une surveillance permanente. 

La section qui suit concerne essentieUement la comparaison des elements de 
controle interne des referentiels COSO, COCO et CDR AMF, a partir des 
elements du COSO. De ce dernier, le CDR AMF s’est inspire des cinq 
coniposantes, meme si I’on ne retrouve pas a I’identique, dans le document 
de place, la terminologie utilisee par le referentiel americain. 

Du Turnbull, le CDR AMF a retenu I’esprit, c’est-a-dire celui d’un guide 
base sur des principes generaux et non sur des regies contraignantes. C’est la 
raison pour laqueUe les propos concernant le CDR AMF seront parfois 
moins detailles que ceux relatifs au COSO ou au COCO. 

L’une des annexes du COCO permet de regrouper les criteres de controle 
en fonction des differentes coniposantes du COSO. 

Dans la niesure du possible, les elements decrits en annexe du Turnbull seront 
egalenient presentes. 


L'environnement de controle 

Selon le COSO, l’environnement de controle est un element tres important 
de la culture d’une entreprise, puisqu’il determine le niveau de sensibilisation 
du personnel au besoin de controle. 11 constitue le fondement de tons les 
autres elements du controle interne, en imposant discipline et organisation. 
Les facteurs ayant un impact sur l’environnement de controle comprennent 
notamment I’integrite, I’ethique et la competence du personnel ; la philoso- 
phie des dirigeants et le style de management ; la politique de delegation des 
responsabilites, d’organisation et de formation ; enfin, I’interet manifeste par 
le conseil d’ administration et sa capacite a indiquer clairement les objectifs. 


Integrite et ethique 

Le COSO comme le COCO s’accordent a dire que des valeurs ethiques, 
dont I’integrite, doivent etre communiquees au sein de I’organisation et etre 
traduites par un code de conduite. Selon ces deux referentiels, la direction 
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generale (ainsi que le conseil pour le COCO) out une influence majeure 
dans ce domaine et doivent donner I’exemple. Dans la mesure ou le 
CDR AMF considere que des regies de conduite et d’integrite portees par 
les organes de gouvernance et Fexemplarite sont des prealables a la mise en 
oeuvre d’un bon dispositif de controle interne, il ne les a pas traitees en tant 
que composantes du controle interne, mais plutot en tant qu’elements sous- 
jacents, indispensables a sa mise en oeuvre. 

Le COSO 

Les objectifs d’une entreprise et les methodes utilisees pour les atteindre sont 
fondes sur des priorites, des jugements de valeur et un style de management. 
Ces priorites et jugements de valeur, qui se traduisent par un code de 
conduite, refletent Fintegrite et Fethique des dirigeants. L’efFicacite des pro- 
cedures de controle interne depend de Fintegrite et de Fethique dont font 
preuve les personnes qui creent ces controles, les gerent et en assurent le 
suivi. L’ethique et Fintegrite des dirigeants sont le fruit de la « culture 
d’entreprise », qui se materialise dans des normes d’ethique et de conduite, 
ainsi que dans les methodes utilisees pour communiquer et developper 
celles-ci au sein de Fentreprise. La direction generale joue un role majeur 
dans la determination de la culture d’entreprise, a commencer par le P-DG. 
Des principes d’ethique doivent etre inculques et des conseils explicites en la 
matiere doivent egalement etre prodigues. L’exemple constitue la meiUeure 
facon de promouvoir un message de comportement conforme a Fethique a 
travers toute la firme. Toutefois, donner Fexemple n’est pas suffisant. Le 
management doit communiquer oralement au personnel les valeurs et les 
normes de conduite retenues par Forganisation. 11 est particulierement 
important que des sanctions soient prevues en cas de violation de ces codes 
de conduite et que des mecanismes de communication des infractions soient 
mis en place. 

Le COCO 

Des valeurs ethiques, dont Fintegrite, devraient etre defmies, communiquees 
et mises en pratique dans Fensemble de Forganisation. Ces valeurs font partie 
de la culture de Forganisation et constituent un code de conduite non ecrit a 
partir duquel les comportements sont evalues. Un code de conduite ofFiciel 
ecrit est un moyen de communiquer de fagon uniforme les normes d’ethi- 
que. Les valeurs et les priorites de la direction generale et du conseil ont une 
influence majeure sur les objectifs et les systemes de Forganisation. 
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Le Turnbull 

Pour celui-ci, la direction generale doit demontrer au travers de ses actions 
tout comme de ses politiques son engagement en faveur de I’integrite. 


Politique en matiere de ressources humaines 

Selon le COSO, le COCO et le CDR AMF, les politiques et pratiques en 
matiere de RH doivent etre determinees en function des objectifs de I’orga- 
nisation. Les deux premiers considerent que doivent etre prises en compte 
notamment les valeurs ethiques et mettent en avant la notion de recompense. 
Le COSO quant a lui precise que le systeme de controle interne doit aussi 
comporter des mesures discipUnaires pour tout manquement aux regies de 
comportement etabHes. 

Le COCO et le Turnbull, eux, introduisent la notion de « climat de 
confiance » qui, en facditant la circulation des informations, permet a I’orga- 
nisation d’atteindre ses objectifs. 

Le COSO 

La politique de gestion des ressources humaines traduit les exigences de 
I’entreprise en matiere d’integrite, d’ethique et de competence. Cette politi- 
que englobe le recrutement, la gestion des carrieres, la formation, les evalua- 
tions individueUes, les conseils aux employes, les promotions, la 
remuneration et les actions correctives. 

Des systemes de remuneration competitifs, prevoyant Lattribution de pri- 
mes, permettent de motiver et d’accroitre les performances. Enfin, les mesu- 
res disciplinaires permettent de faire comprendre que tout manquement aux 
regies de comportement etablies dans I’entite ne sera pas tolere. Les etudes et 
la formation doivent preparer le personnel de I’entreprise a s’adapter aux 
evolutions de I’environnement. 

Le COCO 

Les politiques et pratiques en matiere de RH devraient etre conformes aux 
valeurs ethiques de I’organisation et coherentes avec ses objectifs. Le controle 
est effectue par I’intermediaire de personnes dont le comportement et la 
motivation sont influences par les politiques et pratiques en termes de RH et 
par les systemes de recompenses. Le comportement des gens est influence 
par I’idee qu’ils ont du mode de gestion et de recompense dont ils font 
I’objet. Un climat de confiance mutueUe devait etre favorise pour faciliter la 
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circulation de rinformation entre les personnes et aider celles-ci a contribuer 
eliicacement a Tatteinte des objectifs de T organisation. 

Le Turnbull 

La societe doit disposer d’une culture d’entreprise, d’un code de conduite, 
d’une politique de ressources humaines et d’un systeme de recompenses des 
performances qui favorisent la realisation des objectifs. EUe doit aussi favori- 
ser le developpement d’un climat de confiance au sein de la societe. 

Le CDR AMF 

Une politique de gestion des ressources humaines doit permettre de recruter 
des personnes possedant les connaissances et les competences necessaires a 
I’exercice de leur responsabilite et a I’atteinte des objectifs actuels et futurs de 
la societe. 


Delegation de pouvoirs et domoines de responsabilites 

Le COSO,le COCO et le CDR AMF conviennent que les responsabilites et 
les pouvoirs accordes aux membres de I’organisation doivent I’etre en fonc- 
tion des objectifs de cette derniere. Le COCO et le CDR AMF precisent 
que ces responsabilites et pouvoirs doivent etre communiques au moyen de 
descriptions de taches ou de fonctions. 

Le COSO 

Cet aspect de I’environnement de controle concerne les delegations de pou- 
voirs et de responsabilites au sein des activites operationneUes, les Hens hierar- 
chiques permettant la remontee des informations et les regies en matiere 
d’ approbation. 11 concerne egalement la maniere dont les individus et les equi- 
pes sont encourages a prendre des initiatives pour aborder et resoudre les pro- 
blemes, ainsi que les limites imposees a I’autorite exercee par des individus et 
des equipes. La principale difficulte reside dans le fait que les responsabdites ne 
doivent etre deleguees que dans la Hmite des objectifs a reaHser. Pour cela, il est 
necessaire de s’assurer que les risques sont pris en fonction de la capacite des 
responsables a les identifier et a les minimiser, ainsi qu’a evaluer et a peser les 
pertes et les gains potentiels resultant de la prise de decision. 11 est egalement 
tres difficile d’ assurer la comprehension des objectifs de I’entite par I’ensemble 
du personnel. 11 est essentiel que chacun soit conscient du Hen existant entre ses 
actions et ceUes des autres, et de leur contribution a la reaHsation des objectifs. 
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Le COCO 

Les pouvoirs, les responsabilites et robligation d’en rendre compte devraient 
etre clairement definis et conformes aux objectifs de rorganisation afin que 
les decisions et les actions soient prises par les bonnes personnes. Ces pouvoirs 
et responsabilites doivent etre communiques au moyen de descriptions de 
taches ou de fonction. Des politiques visant a facditer I’atteinte des objectifs 
de Torganisation et la gestion des risques auxquels elle fait face devraient etre 
etablies, communiquees et mises en pratique, afin que les gens comprennent 
ce qui est attendu d’eux et connaissent I’etendue de leur liberte d’action. 

Le Turnbull 

Les pouvoirs et les responsabilites doivent etre clairement definis de telle 
sorte que les decisions soient prises et les actions effectuees par les personnes 
appropriees. La societe doit communiquer a ses salaries ce qui est attendu 
d’eux et leur espace de liberte d’action. 

Le CDR AMF 

La mise en oeuvre d’un dispositif de controle interne doit reposer sur des prin- 
cipes fondamentaux, mais aussi sur deux autres elements. II faut d’abord une 
organisation appropriee qui fournit le cadre dans lequel les activites necessai- 
res a la realisation des objectifs sont planifiees, executees, suivies et controlees. 

Par aiUeurs, des responsabilites et pouvoirs clairement definis doivent etre 
accordes aux personnes appropriees en fonction des objectifs de la societe. Ils 
peuvent etre formalises et communiques au moyen de descriptions de taches 
ou de functions, d’ organigrammes hierarchiques et fonctionnels, de delega- 
tions de pouvoirs et devraient respecter le principe de separation des taches. 

Competences 

Le COSO, le Turnbull et le CDR AMF conviennent que les membres de 
I’organisation doivent posseder les connaissances et les competences neces- 
saires a I’accomplissement de leurs taches. 

Le COSO 

La competence doit refleter la connaissance et les aptitudes necessaires a 
I’accomplissement des taches requises a chaque poste. Il appartient generale- 
ment au management de decider du niveau de quaHte requis pour ces taches, 
en fonction des objectifs de la societe et des plans strategiques mis en oeuvre. 
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Le management doit preciser les niveaux de competence requis pour chaque 
mission et les traduire en termes de connaissances et d’aptitudes. 

Le Turnbull 

Les membres de I’organisation doivent posseder les connaissances, les com- 
petences et les outils necessaires a I’accomplissement des objectifs de I’orga- 
nisation et au management des risques. 

Le CDR AMF 

Une organisation comportant une definition claire des responsabdites, dis- 
posant des ressources et des competences adequates et s’appuyant sur des 
procedures, des systemes d’information, des outils et des pratiques appropries 
doit etre mise en oeuvre. 

Conseil d'administration et comite d'audit 

Selon le COSO, 1’ environnement de controle et la culture de I’organisation 
sont largement influences par le conseil d’ administration et le comite d’audit. 
L’experience et I’envergure de leurs membres, leur independance vis-a-vis 
des dirigeants, leur niveau d’ engagement dans la conduite de I’entreprise, leur 
rigueur dans le controle des operations ainsi que la pertinence de leurs actions 
sont des facteurs importants de 1’ environnement de controle. L’interaction 
entre le conseil d’ administration ou le comite d’audit et les auditeurs internes 
et externes est un autre facteur ayant une incidence sur 1’ environnement de 
controle. En raison de son importance, le conseil d’administration ou un 
organe similaire constitue un facteur essentiel de I’eflicacite du controle 
interne. 11 est egalement indispensable que le conseil d’administration soit 
compose, en partie, d’administrateurs independants, afin qu’ils puissent exa- 
miner soigneusement les activites de la direction, presenter un autre point de 
vue et avoir le courage de reagir face a des agissements incorrects. 

Philosophie et style de management 

D’apres le COSO, la philosophie et le style de management ont une incidence 
sur la conduite des affaires de I’entreprise et sur le niveau de risques accepte. 


Structure de I'entreprise 

Selon le COSO, quelle que soit la structure retenue, les activites d’une entre- 
prise doivent etre organisees de fa^ on a faciliter la mise en oeuvre des strate- 
gies destinees a assurer la reaUsation d’objectifs precis. 
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Les risques 

Si pour le COSO et le CDR AMF, revaluation des risques est I’une des cinq 
composantes du controle interne, le Turnbull en fait une notion centrale 
puisque selon ce referentiel, le conseil doit adopter une approche basee sur 
les risques pour etablir un systeme de controle interne solide. Et selon le 
COCO, le controle est efficace seulement si les risques residuels de non- 
realisation des objectifs de I’organisation sont juges acceptables. Le controle 
comprend done I’identification et la reduction des risques. 


Les objectifs 

Les quatre referentiels s’accordent a dire que la fixation des objectifs consti- 
tue une condition prealable a revaluation des risques. Pour I’ensemble de ces 
referentiels, ces objectifs doivent etre clairs et comprehensibles par les mem- 
bres de I’organisation. Une communication de ces objectifs est par conse- 
quent necessaire. Les quatre referentiels s’accordent egalement sur le fait que 
ces objectifs doivent etre mesurables. Rappelons que pour le COCO, le 
COSO et le CDR AMF, la determination des objectifs est hors du champ de 
controle interne. 

Le COSO 

Le management doit se fixer des objectifs avant d’identifier les risques sus- 
ceptibles d’avoir un impact sur leur realisation et prendre les mesures neces- 
saires. L’etablissement des objectifs represente done une etape cle de la 
conduite des affaires. Bien que n’etant pas un element du controle interne, 
cette phase constitue une condition prealable permettant d’assurer le 
controle interne. En se fixant des objectifs generaux, une entreprise est en 
mesure d’identifier des facteurs cles de reussite, e’est-a-dire des evenements 
qui doivent se produire ou des conditions qui doivent exister pour que les 
objectifs puissent etre atteints. 

Ces derniers doivent etre complementaires et Hes. Les objectifs generaux 
doivent non seulement etre en harmonie avec les capacites et les perspectives 
de I’entreprise, mais egalement etre en accord avec les objectifs de ses diffe- 
rentes unites et functions. Ainsi,lorsqu’une entreprise met en place une nou- 
veUe strategie, il est necessaire de s’assurer de la coherence des objectifs fixes 
au niveau des differentes unites et des functions avec ceux de I’entite. Les 
objectifs relatifs aux activites doivent etre clairs, i.e. etre aisement comprehen- 
sibles par les individus responsables de leur realisation, lls doivent egalement 
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etre mesurables. Fixer des objectifs constitue une condition prealable a un 
controle interne efFicace. Les objectifs fournissent les buts mesurables vises 
par Fentreprise dans I’exercice de ses activites. 

Le COCO 

Pour ce referentiel, des objectifs doivent etre etablis et communiques. Ceux- 
ci fournissent des orientations. Ils peuvent etre lies a I’organisation entiere ou 
a des parties de ceUe-ci et etre plus ou moins detaiUes. La mission et la vision 
constituent des objectifs globaux de 1’ organisation. La premiere est sa raison 
d’exister. La vision, eUe, represente la situation future a laquelle I’organisa- 
tion aspire. EUe englobe les objectifs strategiques et les plans pour les reaUser. 
Une mission expHcite et une vision claire auxqueUes les gens adherent dans 
I’ensemble de I’organisation permettent a celle-ci de tenir le cap et assurent 
ainsi la cohesion au cours des changements. Le choix des objectifs, comme 
d’autres decisions, constitue un aspect de la gestion qui ne fait pas partie du 
controle. En revanche, le processus d’etablissement des objectifs est couvert 
par la definition du controle. 11 faut egalement que les objectifs soient com- 
muniques clairement afin que les gens comprennent le contexte et I’orienta- 
tion dans lesquels se situent leurs decisions, leurs actions et leurs activites de 
coordination. Les objectifs et les plans connexes devraient comprendre des 
cibles et des indicateurs de performance mesurables. 

Le TurnbuU 

La notion d’objectif est essentieUement abordee dans I’annexe du document. 
11 y est donne un ensemble de questions pour permettre au conseil d’evaluer 
la qualite des processus de gestion des risques. L organisation doit 
s’assurer qu’eUe a des objectifs nets, clairement communiques aux employes, 
afm que ces derniers comprennent et adherent a la politique de I’organisa- 
tion en matiere d’evaluation des risques et de controle. Le conseil doit s’assu- 
rer que les programmes comportent aussi des cibles et des indicateurs afm de 
mesurer la performance de Fentreprise. 


^identification des risques 

Les quatre referentiels estiment que le processus d’identification des risques 
est continu et repetitif. Le COSO et le COCO insistent sur le fait que les 
risques, aussi bien internes qu’externes a Forganisation, doivent etre identi- 
fies. Si pour le COSO, cette identification doit porter sur Fensemble des ris- 
ques, le COCO precise que dans la mesure ou il est rarement avantageux du 
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point de vue des couts de relever I’ensemble des risques, leur identification 
doit etre suifisamment globale. 

Le COCO estime que les notions de risques et d’opportunites sont etroite- 
ment Uees. 

Pour le COSO, une distinction doit etre faite entre les procedures d’identifi- 
cation des risques et d’analyse de risques, pour limiter les risques iniportants. 

Le COCO et le Turnbull precisent que les risques juges acceptables par le 
Conseil et le management doivent etre communiques a I’ensemble des 
membres de 1’ organisation. 

Mais, alors que le COSO parle de revaluation du risque — de tous les ris- 
ques — , le CDR AMF, lui, evoque un systeme qui vise a recenser et a analy- 
ser les principaux risques. Encore faut-il qu’ils soient identifiables. . . 11 s’agit 
ici plus que d’une simple nuance. 

Le COSO 

Ce processus d’identification et d’analyse du risque est un element cle d’un 
systeme de controle interne efficace. Le management doit, a tous les 
niveaux, identifier minutieusement les risques et prendre les mesures ade- 
quates afm de les limiter. Les performances d’une entreprise peuvent etre 
menacees par des facteurs internes ou externes. Ceux-ci peuvent, a leur 
tour, avoir un impact a la fois sur les objectifs formules et sur les objectifs 
implicites. 11 est essentiel que tous les risques soient identifies. Une technique 
consiste a identifier les activites comportant le plus de risques et a classer ces 
derniers par ordre de priorite. 

L’essentiel est que les dirigeants tiennent compte attentivement des facteurs 
qui peuvent contribuer a I’apparition d’un risque, voire a son aggravation. 
Les facteurs a prendre en compte sont notamment : 

• la non-realisation des objectifs par le passe ; 

• la competence du personnel ; 

• les changements au niveau de la concurrence, de la reglementation, du 
personnel ou autres, ayant un impact sur I’entreprise ; 

• la dispersion geographique des activites, internationale principalement ; 

• I’importance que revet une activite pour I’entreprise ; 

• la complex! te d’une activite. 
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Les risques doivent etre identifies non seulement a I’echelle de I’entreprise, 
mais egalement de chaque activite. Parvenir a evaluer les risques par activite 
contribue egalement an maintien d’un niveau acceptable de risques. 

Pour limiter les risques, il vaut mieux que cette procedure d’identification 
soit distincte de ceUe consistant a evaluer leur probabdite de survenance. 

Le COCO 

Le controle est efficace lorsque les risques residuels (non controles) de non- 
realisation des objectifs de I’organisation sont juges acceptables. Le controle 
comprend done I’identification et la reduction des risques. Ceux-ci ne se 
limitent pas aux risques connus lies a la realisation d’un objectif precis ; ils 
comprennent egalement deux risques plus fondamentaux qui menacent la 
viabilite et le succes de I’organisation : 

• celui que I’organisation ne conserve pas sa capacite d’identifier et de 
mettre a profit les opportunites ; 

• celui que I’organisation ne conserve pas sa souplesse, i.e. la capacite de 
I’organisation a reagir et a s’adapter lorsque des risques et des opportuni- 
tes imprevus se manifestent. 

Les risques internes et externes importants auxquels I’organisation fait face 
dans la poursuite de ses objectifs devraient etre identifies et evalues. Toute 
action ou toute inaction comporte un risque de non-realisation des objectifs. 
Les risques et les opportunites sont etroitement lies. 11 est important que 
I’organisation identifie de fa^on continue les risques internes et externes 
importants afin qu’eUe puisse reagir aux changements (ou les susciter) de 
fagon appropriee et sans delai. 

Bien qu’il soit rarement avantageux du point de vue des couts de tenter de 
relever tons les risques, leur identification doit etre suffisamment globale 
pour fournir I’assurance raisonnable que les risques pouvant avoir une 
incidence importante sur les objectifs sont identifies. Les gens ont besoin 
de savoir quels risques sont acceptables pour la direction generale et le 
conseil d’administration. L’identification explicite des risques residuels 
acceptes et la communication de cet element dans I’ensemble de I’organi- 
sation sont essentielles a I’efficacite du controle. L’identification et reva- 
luation des risques doivent etre menees pour chaque objectif important de 
I’organisation. 

Le risque provient des environnements dans lesquels I’organisation oeuvre, 
mais aussi des choix faits en matiere de fonctionnement. 
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Le Turnbull 

Les risques significatifs doivent etre identifies et evalues regulierement. Le 
management et les autres membres du personnel doivent connaitre les ris- 
ques juges acceptables par le conseil. 

Le CDR AMF 

La societe doit recenser les principaux risques identifiables, internes ou 
externes, pouvant avoir un impact sur la probabdite d’atteindre les objectifs 
qu’eUe s’est fixes. Cette identification, qui s’inscrit dans le cadre d’un proces- 
sus continu, devrait couvrir les risques pouvant avoir une incidence impor- 
tante sur sa situation. 

['analyse des risques 

Les quatre referentiels stipulent que les risques identifies doivent etre analyses 
et evalues en function essentiellement de deux criteres : leur probabilite 
d’occurrence et leur impact. 

Le COSO 

II est necessaire de proceder a une analyse des risques une fois que ceux-ci 
ont ete identifies, a la fois au niveau de I’entreprise et de chaque activite. Le 
processus — plus ou moins formel — se decompose generalement de la fa^ on 
suivante : 

* evaluation de I’importance du risque ; 

* evaluation de la probabilite (ou frequence) de survenance du risque ; 

* prise en compte de la fa^on dont le risque doit etre gere, c’est-a-dire eva- 
luation des mesures qu’il convient de prendre. 

Levaluation des risques reste difficile : on pent les decrire au mieux comme 
etant « forts », « moyens » ou « faibles ». 

Le COCO 

Pour evaluer les risques, il convient d’estimer les probabiUtes que survienne 
un fait ainsi que I’importance des consequences de ce dernier afm que les 
politiques et les processus de controle appropries puissent etre mis au point. 

Le Turnbull 

Pour determiner des politiques de controle interne, le conseil doit prendre 
en consideration : 
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• la nature et I’etendue des risques auxquels I’organisation est confrontee ; 

• I’etendue et les categories de risques que I’organisation peut supporter ; 

• la probabilite de survenance des risques, la capacite de I’organisation a 
reduire I’impact des risques qui se materialisent ; 

• le rapport couts/benefices des controles developpes pour gerer ces ris- 
ques. 

Le CDR AMF 

Pour analyser les risques, il convient de tenir compte de leur possibilite 
d’occurrence et de leur gravite potentieUe, ainsi que de 1’ environnement et 
des mesures de maitrise existantes. 

Les procedures de gestion des risques 

Les quatre referentiels soulignent qu’une fois identifies et analyses, les risques 
doivent etre geres. 

Pour le COSO et le Turnbull, le rapport couts/benefices des procedures qui 
doivent etre developpees pour gerer ces risques doit etre etudie. 

Si pour le Turnbull, les politiques de gestion des risques sont decidees par le 
conseil, pour le COSO et le CDR AMF, ces procedures sont determinees 
par le management, ce dernier evoquant toutefois I’eventuelle intervention 
d’une direction des risques. 

Le COSO 

Une fois I’importance et la probabilite de survenance du risque evaluees, le 
management doit etudier la fagon dont il doit etre gere. Pour cela, il doit 
faire appel a son jugement, en se basant sur certaines hypotheses concernant 
les risques et sur une analyse raisonnable des couts qu’il serait necessaire 
d’engager pour les reduire. 

Notons qu’n existe une difference de nature entre revaluation des risques, qui 
fait partie integrante du controle interne, et les plans, programmes et mesures 
en decoulant, juges necessaires par le management dans le cadre de la gestion 
des risques. Prendre des mesures constitue un maiUon essentiel dans un pro- 
cessus de gestion d’ensemble, mais pas un element du systeme de controle 
interne. ParaUHement aux mesures prises pour gerer le risque, des procedures 
permettent aux dirigeants d’en suivre la mise en oeuvre et Pefficacite. Avant 
d’instaurer des procedures supplementaires,le management doit determiner si 
celles deja existantes sont adequates au regard des risques identifies. 
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Le COCO 

Pour evaluer les risques, il convient d’estimer les probabilites que survienne 
un fait ainsi que Pimportance de ses consequences afin que les politiques et 
processus appropries puissent etre mis au point pour les controler. 

Le Turnbull 

Le conseil doit s’assurer que le systeme de controle interne est efFicace pour 
gerer les risques. Pour cela, il doit etablir des procedures qui doivent etre 
mises en oeuvre par le management. 

Le CDR AMF 

Les differents elements d’ analyse de risques ne sont pas figes, mais au contraire 
pris en compte dans un processus de gestion des risques. La direction generale 
ou le directoire, avec I’appui d’une direction des risques — si eUe existe — 
devraient defmir des procedures de gestion des risques. 


La gestion du changement 

Les quatre referentiels indiquent que I’organisation doit etre attentive aux 
changements dans son environnement interne et externe et prendre les 
mesures qui s’imposent. Pour le COSO, le COCO et le Turnbull, une pro- 
cedure specifique doit etre mise en place a cet effet. 

Le COSO 

Les changements intervenus dans I’economie, le secteur d’activite, le contexte 
reglementaire et les activites de I’entreprise font qu’un systeme de controle 
interne qui s’avere efficace dans tel contexte ne le sera pas necessairement 
dans tel autre. Une procedure visant a identifier les changements dans I’envi- 
ronnement et a prendre les mesures qui s’imposent constitue le fondement de 
revaluation des risques. 11 est essentiel que chaque entreprise dispose d’une 
procedure, formeUe ou non, permettant d’identifier les evenements pouvant 
avoir un impact significatif sur sa capacite a atteindre les objectifs fixes. 

Le COCO 

Les changements relatifs a tout aspect de I’organisation ont des consequences 
sur les controles. Une surveillance continue des environnements externe et 
interne permet a I’organisation de deceler les changements rapides et d’y 
reagir sans delai. L’information obtenue au moyen de la surveillance des 
environnements pent indiquer qu’il est necessaire de reevaluer les objectifs et 
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d’autres aspects d’une organisation. Il pent s’averer necessaire d’adapter les 
objectifs en fonction de revolution des opportunites. 

Le Turnbull 

Les objectifs d’une entite, son organisation interne ainsi que son environne- 
ment, sont en evolution permanente et par consequent les risques changent 
continueUement. Un solide systeme de controle interne necessite une eva- 
luation reguliere de la nature et de I’etendue des risques auxquels I’organisa- 
tion fait face. Le systeme de controle interne doit etre capable de repondre 
rapidement aux changements de risques. 

Le CDR AMF 

En raison de revolution permanente de 1’ environnement ainsi que du 
contexte reglementaire, les societes doivent mettre en place des methodes 
pour recenser, analyser et gerer les risques. 

Les activites de controle 

Selon le COSO, les activites de controle peuvent se definir comme I’applica- 
tion des normes et des procedures qui contribuent a garantir la mise en 
oeuvre des orientations emanant du management. 

Les quatre referentiels conviennent que les activites de controle sont des 
normes ou procedures prises pour maitriser les risques susceptibles d’affecter 
la realisation des objectifs de I’organisation et doivent etre coordonnees. 

Si le Turnbull met I’accent sur le besoin permanent d’adapter ces activites de 
controle, le COCO, quant a lui, indique que le rapport couts/benefices doit 
etre considere avant de developper de nouveUes activites de controle. 

Le COSO, le COCO ainsi que le CDR AMF indiquent qu’une attention 
particuliere doit etre portee aux activites de controle dediees aux systemes 
d’information. 


Typologie des activites de controle 
Le COSO 

Les activites de controle sont menees a tons les niveaux hierarchiques et 
fonctionnels de la structure et comprennent des actions aussi variees 
qu’approuver et autoriser, verifier et rapprocher, apprecier les performances 
operationneUes, la securite des actifs ou la separation des fonctions. Trois 
categories d’operations de controle se rattachant aux objectifs generaux de 
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I’entreprise peuvent etre distinguees : le domaine operationnel, I’informa- 
tion financiere et le respect des contraintes legales et reglementaires. 

Les controles peuvent s’appUquer specifiquement a un domaine, ou en 
recouper plusieurs. II existe de nombreux types d’activites de controle, qu’il 
s’agisse de controles orientes vers la prevention ou vers la detection, de 
controles manuels ou informatiques, ou encore de controles hierarchiques : 
analyses effectuees par le management, gestion des activites ou des functions, 
traitement des donnees, controles physiques, indicateurs de performance, 
separation des taches. 

Le COCO 

Les activites de controle devraient etre con^ues de fa^on a faire partie inte- 
grante de 1’ organisation, compte tenu des objectifs de ceUe-ci, des risques 
susceptibles de nuire a I’atteinte de ces objectifs et de I’interrelation entre les 
elements de controle. 

Les activites de controle constituent des procedures standard etablies pour 
fournir I’assurance que les processus fonctionnent comme prevu et qu’ils 
repondent aux exigences des politiques de I’organisation. Chaque membre 
de I’organisation est susceptible d’avoir une responsabilite a I’egard des activi- 
tes de controle. La decision d’en ajouter devrait tenir compte des couts, des 
avantages et des risques residuels acceptables. 

En pratique 

Voici quelques examples d'activites de controle : I'observotion, la compa- 
raison, I'opprobotion, la communication des rapports, la coordination, 
I'exomen, la verification, la separation des fonctions, le suivi, etc. 


Le CDR AMF 

Les activites de controle doivent etre proportionneUes aux enjeux propres a 
chaque processus et concues pour s’assurer que les mesures necessaires sont 
prises en vue de maitriser les risques susceptibles d’affecter la realisation des 
objectifs. 

Les activites de controle sont presentes partout dans 1’ organisation, a tout 
niveau et dans toute function, qu’il s’agisse de controles orientes vers la pre- 
vention ou la detection, de controles manuels ou informatiques ou encore 
hierarchiques. 
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Integration des octivites de controle d revaluation des risques 
Le COSO 

Parallelement a revaluation des risques, le management doit determiner et 
mettre en oeuvre le plan d’action destine a les maitriser. Une fois determi- 
nees, ces actions devront egalement servir a definir les operations de controle 
appliquees pour garantir leur execution correcte et en temps voulu. 

Le COCO 

Les activites de controle devraient etre concues de fagon a faire partie inte- 
grante de I’organisation, compte tenu des objectifs de ceUe-ci, des risques 
susceptibles de nuire a I’atteinte de ces objectifs et de I’interrelation entre les 
elements de controle. 

Le TurnbuU 

Les procedures et controles doivent etre reguUerement adaptes et prendre en 
compte les risques emergents ou changeants ou les defaiUances operationneUes. 

Controle des systemes d' information 

Le COSO 

Les systemes d’information, qui jouent un role croissant dans la gestion 
des entreprises, doivent imperativement etre controles. Ces operations 
peuvent etre reparties en deux groupes : les controles globaux et les 
controles applicatifs. Les premiers portent habitueUement sur les opera- 
tions du centre de traitement, I’acquisition et la maintenance des logiciels 
d’exploitation, les controles d’acces, le developpement et la maintenance 
des applications. Les controles applicatifs, eux, comprennent des procedu- 
res programmees a I’interieur meme des logiciels d’application ainsi que 
des procedures manueUes associees, assurant le controle du traitement des 
differentes transactions. Ces controles s’appliquent a I’ensemble des syste- 
mes, qu’il s’agisse des ordinateurs centraux, des mini-ordinateurs ou de 
I’environnement utiUsateur. 

Le COCO 

Certaines activites de controle sont propres au systeme d’information, par 
exemple le controle de faeces aux logiciels et au materiel, la sauvegarde et la 
reprise, le controle de la programmation, etc. 
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Le CDR AMF 

Une attention toute particuliere devrait etre portee aux controles des pro- 
cessus de construction et de fonctionnement des systemes d’information. 
Les systemes informatiques sur lesquels s’appuient les systemes d’informa- 
tion doivent etre proteges efficacement tant au niveau de leur securite 
physique que logique afm d’assurer la conservation des informations stoc- 
kees. Leur continuite d’ exploitation doit etre assuree au moyen de proce- 
dures de recours. Les informations relatives aux analyses, a la 
programmation et a I’execution des traitements, doivent faire I’objet 
d’une documentation. 


Information et communication 

Les quatre referentiels affirment que I’information doit etre pertinente, fiable 
et diffusee au moment opportun aux personnes qui en ont besoin pour leur 
permettre d’assurer leurs responsabilites, et que les besoins en information 
ainsi que les systemes d’information doivent evoluer en fonction des change- 
ments de I’environnement. 

Le COSO et le Turnbull precisent qu’il est necessaire de prevoir des systemes 
de communication permettant aux individus de faire remonter des proble- 
mes ou des questions delicates. 

Information 
Le COSO 

La gestion de I’entreprise et la progression vers les objectifs qu’elle s’est frxes 
impliquent que I’information irrigue tous les niveaux de la societe. 11 devient 
particulierement important de s’assurer que les informations coUectees con- 
tinuent de correspondre aux besoins de I’organisation. Lorsque cette der- 
niere opere dans un environnement en profonde mutation, les systemes 
d’information doivent evoluer pour repondre aux nouveaux objectifs de la 
fir me. 

Pour etre efFicaces toutefois, les systemes d’information doivent non seule- 
ment identifier et recueiUir les donnees requises, financieres ou non, mais 
egalement les traiter et les diffuser dans des delais et sous une forme facilitant 
les activites de controle. 
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Les systemes d’information sont souvent directement lies a I’exploitation. Ils 
permettent de recueiUir les donnees necessaires a la prise de decisions orientees 
non seulement vers des objectifs de controle, mais egalement de plus en plus 
vers la prise d’initiatives strategiques. 

L’acquisition d’une nouveUe technologie est un aspect essentiel de la strate- 
gie d’une societe et les choix efFectues en la matiere peuvent etre des facteurs 
cles, conditionnant la realisation des objectifs de croissance. 

La quaHte des informations se mesure par les reponses aux questions suivantes. 


Les bonnes questions 

• Contenu : toutes les informations necessaires y sont-elles ? 

• Deloi : I'informotion peut-elle etre obtenue en temps voulu ? 

• Mise a jour : est-ce la derniere information en dote disponible ? 

• Exactitude : I'informotion est-elle correcte ? 

• Accessibility : les parties interessees peuvent-elles obtenir cette informa- 
tion oisement ? 


Le COCO 

Des plans pour guider les efforts de realisation des objectifs de I’organisation 
devraient etre etablis et communiques. La planification traduit les objectifs et 
revaluation des risques en strategies, en plans d’action et en cibles operation- 
nelles et financieres en fonction desquels on pent mesurer les progres et en 
faire le suivi. Une information pertinente suffisante devrait etre etablie et 
communiquee dans des delais acceptables pour permettre aux personnes de 
s’acquitter des responsabilites qui leur sont confiees. Pour que le suivi soit 
efficace, il faut que les informations recueiUies soient pertinentes et fiables, 
qu’eUes soient communiquees a ceux dotes du pouvoir d’agir ou mises a leur 
disposition. Enfin, eUes doivent etre recueiUies suffisamment vite pour per- 
mettre une prise de position efficace. Les besoins d’information et les syste- 
mes connexes devraient etre reevalues lorsque les objectifs changent ou que 
des deficiences sont relevees dans la communication de I’information. 
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Le Turnbull 

Des informations pertinentes, fiables et transmises au moment opportun 
doivent etre communiquees au management et au conseU pour leur permet- 
tre de prendre toutes les decisions qui s’imposent. Les besoins en information 
ainsi que les systemes d’information doivent etre reevalues des lors que les 
objectifs, les risques evoluent ou que des defaiUances sont identifiees. 

Le CDR AMF 

II insiste sur la diffusion en interne d’informations pertinentes, fiables, dont 
la connaissance permet a chacun d’exercer ses responsabilites. 

Communication 
Le COCO 

Les processus de communication devraient soutenir les valeurs de I’orga- 
nisation et la realisation de ses objectifs. Pour que le controle soit efficace, 
I’organisation doit disposer de processus de communication permettant la 
communication bidirectionneUe et ouverte d’informations pertinentes et 
fiables en temps voulu. Les processus peuvent etre structures ou informels. 
Ils servent a diffuser un large eventail d’informations, notamment sur les 
valeurs ethiques, les politiques, les pouvoirs, les responsabilites et les obli- 
gations d’en rendre compte, les objectifs de I’organisation et les plans pour 
les atteindre. 

Des processus respectant I’anonymat devraient exister pour la communica- 
tion de problemes ou de questions delicates. 

Le COSO 

Tons les membres du personnel, et notamment ceux ayant d’importantes res- 
ponsabilites operationneUes ou financieres, doivent recevoir de la direction 
un message exposant avec force I’importance du controle interne. La clarte 
du message revet une grande importance, ainsi que I’efFicacite avec laqueUe 
ce dernier est transmis. 

Chaque acteur particuMer implique dans le controle interne doit avoir cons- 
cience des differents aspects du systeme, de la facon dont ceux-ci s’imbriquent, 
ainsi que de son role et de ses responsabilites propres dans cet ensemble. 

Au sein de I’entite, chacun doit savoir en quoi ses activites sont liees a ceUes 
des autres. II est essentiel de posseder cette connaissance pour detecter une 
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anomalie, en determiner les causes, ou prendre des mesures correctives. La 
direction doit tenir le conseil d’ administration regulierement informe des 
performances, des developpements, des risques, des grands projets et, plus 
generalement, de tout evenement significatif. 

Le Turnbull 

Des moyens de communication permettant aux individus de faire remonter 
toute suspicion d’inffaction aux lois et aux reglements ainsi que tous les actes 
qu’ils estiment iUicites ou contraires a I’ethique ou au code de conduite de 
I’organisation doivent etre mis en place. 

Le CDR AMF 

La societe devrait disposer de processus assurant la communication d’infor- 
mations pertinentes, fiables et diffusees en temps opportun aux acteurs 
concernes de la societe afin de leur permettre d’exercer leurs responsabiHtes. 


Le pilotage 

Les quatre referentiels conviennent de la necessite de mettre en oeuvre un 
processus de pilotage du controle interne et de realiser des evaluations ponc- 
tueUes de son efficacite, notamment par le biais d’auto-evaluations ou encore 
de revues reaUsees par I’audit interne. 

Mis a part des differences de vocabulaire (le COSO park de pilotage et 
d’evaluation, le CDR AMF de surveillance), peu de differences existent 
entre les deux approches. EUes mettent en avant la necessite de controler le 
dispositif du controle interne pour s’assurer de son bon fonctionnement, ces 
controles se faisant de fagon permanente et periodique. Le COSO souligne 
que les controles periodiques peuvent se faire par auto-evaluation ou grace 
aux travaux d’auditeurs internes. Le CDR AMF, lui, ne mentionne que les 
travaux elfectues par I’audit interne. 

Si le COSO note que le management pent utiliser les travaux effectues par 
les auditeurs externes, le CDR AMF y ajoute ceux realises par les eventuel- 
les instances reglementaires de supervision (commission bancaire par exem- 
ple), lorsque cela est prevu par les textes. 
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Processus d'evaluation 
Le COSO 

L’ evaluation d’un systeme de controle interne constitue un processus en soi. 
Ceci implique de comprendre chaque activite de I’organisation et chaque 
element de controle interne evalues. Ce processus suppose I’analyse de la 
structure du systeme de controle interne et des resultats des tests efFectues, 
menee dans le cadre de criteres definis, afm de pouvoir determiner si le sys- 
teme permet d’obtenir une assurance raisonnable de realisation des objectifs 
fixes. 

Le CDR AMF 

Une surveillance permanente portant sur le dispositif de controle interne 
ainsi qu’un examen regulier de son fonctionnement doivent etre mis en 
oeuvre. Conmie tout systeme, le dispositif de controle interne doit faire 
I’objet d’une surveillance permanente. 11 s’agit de verifier sa pertinence et 
son adequation aux objectifs de la societe. 

Operations courontes de pilotage 
Le COSO 

Ces operations comprennent les activites courantes de gestion et de supervi- 
sion, les analyses comparatives, les rapprochements d’informations et d’autres 
taches courantes. 

Le CDR AMF 

Mise en oeuvre par le management sous le pilotage de la direction generale 
ou du directoire, la surveillance prend notamment en compte I’analyse des 
principaux incidents constates, le resultat des controles realises ainsi que des 
travaux effectues par I’audit interne, lorsqu’il existe. Cette surveillance 
s’appuie notamment sur les remarques formulees par les commissaires aux 
comptes et par les eventuelles instances reglementaires de supervision. La 
surveillance pent utilement etre completee par une veiUe active sur les 
meilleures pratiques en matiere de controle interne. Surveillance et veiUe 
conduisent, si necessaire, a la mise en oeuvre d’actions correctives et a I’adap- 
tation du dispositif de controle interne. 
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Evaluations ponctuelles 
Le COSO 

Si les operations courantes de pilotage fournissent habitueUement d’interes- 
santes informations sur I’efficacite des autres elements du controle interne, il 
pent etre utile de porter de temps en temps un regard neuf sur I’efficacite du 
systeme, cela peut egalement etre I’occasion de determiner si les operations 
courantes de surveillance continuent d’etre efficaces. 

Les evaluations du controle interne varient en etendue et en frequence, en 
function de I’importance relative des risques converts par les controles, d’une 
part, et des controles visant a les reduire, d’ autre part. 

Ce processus prend souvent la forme d’une auto-evaluation : les personnes 
responsables d’une unite ou d’une function particuliere determinent elles- 
memes I’efficacite des controles s’y appliquant. 

Les auditeurs internes evaluent regulierement le controle interne. De meme, 
le management peut se servir des travaux effectues par les auditeurs externes 
dans le cadre de leur propre evaluation de I’efFicacite du controle interne. 

Les elements et les criteres s’appliquent au systeme de controle interne dans 
son ensemble. Pour une categorie donnee, les cinq criteres doivent etre rem- 
plis afin de conclure a I’efficacite du controle interne. 

Le COCO 

La direction devrait evaluer periodiquement I’efFicacite du controle dans 
I’organisation et communiquer les resultats de son evaluation aux personnes 
obligatoirement concernees. La frequence et le detail de I’examen varient 
selon la nature et I’importance de I’objectif et des risques connexes. L’evalua- 
tion du controle dans une organisation peut etre faite de facon informelle 
(contacts directs), en ayant recours a des verificateurs, et au moyen d’auto- 
evaluation. Les resultats de ces evaluations doivent etre communiques. Les 
personnes responsables, individuellement ou en equipe, de la realisation 
d’objectifs, doivent egalement I’etre de I’efficacite du controle qui contribue 
a la realisation de ces objectifs et communiquer les resultats de ces evaluations 
aux personnes auxqueUes eUes doivent rendre des comptes. Quelle que soit la 
fagon de mener revaluation, il faut en devoiler les conclusions pour boucler la 
boucle de I’obligation de rendre compte envers les personnes responsables de 
I’ensemble de I’organisation (par exemple, le conseil d’ administration). 
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Le Turnbull 

Le management est responsable de la mise en oeuvre d’un processus continu 
de pilotage afm de s’assurer de I’application des politiques, des procedures et 
des activites relatives au controle interne et a la gestion des risques. Ce pro- 
cessus inclut des auto-evaluations, la confirmation par les membres de I’orga- 
nisation du respect des politiques et du code de conduite, des audits internes 
ou d’autres revues effectuees par le management. Un tel processus doit per- 
mettre de s’assurer que I’organisation est a meme de reevaluer ses risques et 
d’adapter les controles en function des modifications de ses objectifs, de son 
activite ou de I’environnement externe. 

Des communications, relatives a I’efficacite du processus de pilotage, doivent 
etre realisees, au moment opportun, aupres du Conseil et doivent inclure : 

• revaluation de tons les risques significatifs ; 

• revaluation de I’efficacite du controle interne au regard de ces risques ; 

• I’identification de toutes les faiblesses ou les defaiUances de controles, en 
precisant I’impact qu’Us ont, auraient, ou peuvent avoir sur la societe ; 

• les actions prises pour paUier et rectifier ces dysfonctionnements. 

Evaluation annuelle 

Selon le Turnbull, le conseil doit definir le processus relatif a la revue d’effica- 
cite du controle interne, tons les controles internes y etant soumis (opera- 
tionnels, de conformite, financiers). Durant I’annee, il doit revoir les 
rapports du management relatifs au controle interne et doit : 

• identifier les risques significatifs et evaluer comment ils ont ete identifies, 
mesures et geres ; 

• evaluer I’efficacite du systeme de controle interne permettant de gerer les 
risques significatifs, en particulier au regard des defaiUances ou des faibles- 
ses de controle interne qui lui auraient ete rapportees ; 

• considerer si les actions necessaires sont prises a temps pour remedier aux 
faiblesses et aux defaiUances identifiees ; 

• considerer si les points faibles identifies indiquent la necessite d’un suivi 
renforce du systeme de controle interne. 

Devaluation annuelle du conseil doit prendre en compte plusieurs parame- 
tres. 11 s’agit tout d’abord des changements intervenus durant I’annee et de la 
capacite de I’entreprise a repondre a ces changements. 
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II doit egalement examiner le perimetre et la qualite du suivi relatif aux ris- 
ques et au systeme de controle interne realise par le management et, le cas 
echeant.le travail realise par I’audit interne et les autres fonctions d’assurance. 

Le conseil prend aussi en compte I’etendue et la frequence des communica- 
tions de ses differents comites, permettant de construire une evaluation 
annueUe, ainsi que I’impact des defaidances et des faiblesses significatives de 
controle interne qui ont, auraient ou pourraient avoir des consequences sur 
la performance de I’entreprise. 

Enfm, il doit considerer I’efFicacite du processus de reporting de I’entreprise. 

Faiblesse de controle interne et remontee de I'informotion 

Selon le COSO, les faiblesses du systeme de controle interne d’une organisa- 
tion peuvent etre identifiees lors des operations courantes de pilotage, des 
evaluations separees du systeme de controle interne, ainsi que par des tiers. 
Une faiblesse pent correspondre a une carence observee, potentieUe ou 
reeUe, ou etre une opportunite de renforcer le systeme de controle interne, 
afm d’accroitre la probabUite d’atteindre les objectifs de I’entreprise. 

Remontee des informations 

Le COSO precise que toutes les faiblesses de controle interne susceptibles 
d’avoir un impact sur la realisation des objectifs de I’entreprise doivent etre 
signalees aux responsables habdites a prendre des mesures appropriees. II est 
necessaire de tenir compte de I’impact de la faiblesse detectee pour determi- 
ner si eUe doit etre signalee. 

II est essentiel non seulement de signaler la transaction ou I’evenement, mais 
egalement de proceder a une nouveUe evaluation des controles potentieUe- 
ment defectueux. On pent avancer I’idee que tout probleme est sufFisam- 
ment significatifpour justifier la recherche des consequences sur le controle. 

Personnes d informer 

Le COSO 

Les faiblesses du controle interne doivent non seulement etre signalees a la 
personne responsable de la function ou de I’activite concernee, ceUe-ci pou- 
vant prendre toute mesure corrective, mais egalement a son superieur hierar- 
chique, direct ou non, dans la structure. 
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Le CDR AMF 

La direction generale ou le directoire apprecient les conditions dans lesquel- 
les Us informent le conseil des principaux resultats des surveillances et des 
examens ainsi exerces. 


Les acteurs du controle interne et leur responsobilite 

Le COSO, le COCO et le CDR AMF considerent que le controle interne 
est I’afFaire de tons les coUaborateurs de la societe. Toutefois, trois acteurs 
sont cites comniunement par les quatre referentiels etudies : le conseil 
d’ administration, le management et les autres membres du personnel. 

Ces quatre referentiels font egalement reference de maniere impUcite (COCO) 
ou explicite (COSO, Turnbull, CDR AMF) a la fonction d’ audit interne. Pour 
le COSO et le CDR AMF, la responsabTite de I’audit interne reside dans reva- 
luation du systeme de controle interne et de son efficacite. Les deux referentiels 
reconnaissent le role eminent de I’audit interne en matiere de controle, tout en 
affirmant qu’U n’a pas de responsabTite dans sa mise en place. 

Le COSO, lui, consacre des parties clairement identifiees a trois autres 
acteurs et a leur responsabTite en matiere de controle interne a savoir le 
comite d’audit, les cadres financiers, et les tiers. 

En matiere de responsabTite du systeme de controle interne, les referen- 
tiels divergent. Bien qu’ils reconnaissent tons au conseil d’ administration 
un role important en matiere de controle interne, le Turnbull est le seul 
referentiel qui lui attribue la responsabTite principale. Pour le COSO, 
cette responsabTite revient au management et en particulier au P-DG, 
premier responsable du systeme de controle interne. Le COCO, quant a 
lui, n’attribue pas de responsabTite ultime : partout dans Porganisation, les 
personnes participent au controle et en ont la responsabTite. Le role du 
conseil pour le CDR AMF apparait plus limite que dans le referentiel 
COSO. Alors que selon ce dernier, le controle interne est un processus 
mis en oeuvre par trois acteurs (le conseil, les dirigeants et le personnel), le 
CDR AMF distingue clairement la direction generale et le directoire, qui 
concoivent le dispositif de controle interne, et le personnel, qui est charge 
de sa mise en oeuvre. Etant donne qu’en France les lois, les reglementa- 
tions et les codes sont peu prolixes pour preciser le role du conseil d’admi- 
nistration dans le domaine du controle interne, il en resulte, de la part du 
CDR AMF, une position pragmatique. Selon celle-ci, le niveau d’impli- 
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cation du conseil varie d’une societe a I’autre. Mais ce dernier a la possibi- 
lite de prendre toutes les initiatives necessaires pour jouer un role 
approprie dans la surveillance du dispositif de controle interne. 

Le COSO et le CDR AMF reconnaissent le role de surveillance du comite 
d’audit sur le dispositif de controle interne et I’apport positif de I’audit 
interne pour I’aider a exercer cette responsabdite. 

Mais le referentiel COSO va plus loin que le CDR AMF : il met en avant 
le devoir d’alerte ethique de tons les employes et note I’influence que 
peuvent avoir certains tiers a la societe pour le maintien du controle 
interne. Notons toutefois que selon le CDR AMF, la surveillance du dis- 
positif de controle interne pent s’appuyer sur les remarques formulees par 
les commissaires aux comptes et les eventuelles instances reglementaires 
de supervision. 


Le conseil d'administration 

Le COSO 

Le conseil d’administration et le comite d’audit supervisent le systeme de 
controle interne. En fait, tons les comites du conseil d’administration, de par 
leur role de supervision, constituent des elements importants du systeme de 
controle interne. 

Le COCO 

Le conseil d’administration est responsable de la gerance de I’organisation, y 
compris des fonctions de controle dans les domaines suivants : 

* approbation et surveillance du respect de la mission, de la vision et de la 
strategie de I’organisation ; 

• approbation et surveillance des valeurs ethiques de I’organisation ; 

• surveillance du controle de gestion ; 

* evaluation de la direction generale ; 

• supervision des communications externes ; 

* appreciation de I’efficacite du conseil. 

Le Turnbull 

Le conseil est responsable du systeme de controle interne de I’organisation. 11 
doit mettre en place les politiques de controle interne et rechercher regulie- 
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rement Tassurance que ce systeme fonctionne efFicacement. De plus, il doit 
s’assurer que ce systeme de controle interne est efficace pour gerer les risques. 

Le CDR AMF 

Le niveau d’implication des conseils en matiere de controle interne varie 
d’une societe a une autre. 11 appartient a la direction generale ou au direc- 
toire de rendre conipte au conseil (ou a son comite d’audit lorsqu’U existe) 
des caracteristiques essentielles du dispositif de controle interne. Si neces- 
saire, le conseil pent faire usage de ses pouvoirs generaux pour faire proceder 
par la suite aux controles et aux verifications juges opportuns ou prendre 
toute autre initiative qu’il estimerait appropriee. 


Le comite d'audit 

Le COSO 

Le comite d’audit (ou le conseil d’administration en I’absence d’un tel 
comite) occupe une position privdegiee : il a les pouvoirs necessaires pour 
interroger la direction sur la fa^on dont eUe assume ses responsabilites en 
matiere d’informations fmancieres, ainsi que pour s’assurer du suivi des 
recommandations. Le comite d’audit, agissant en collaboration ou en com- 
plement d’une function d’audit interne influente, est le mieux place pour 
identifier les tentatives de la direction d’« outrepasser » le systeme de controle 
interne d’une part, et d’autre part, pour agir en consequence. 11 est clair que 
le controle interne se trouve renforce par son existence. 

Le CDR AMF 

Lorsqu’il existe, le comite d’audit devrait effectuer une surveillance attentive 
et reguliere du dispositif de controle interne. Pour exercer ses responsabilites 
en toute connaissance de cause, il peut entendre le responsable de I’audit 
interne, donner son avis sur I’organisation de son service et etre informe de 
son travail. 11 doit etre en consequence destinataire des rapports d’audit 
interne ou d’une synthese periodique de ces rapports. 


90 ['organisation et b conduite de I'audit interne en environnement international 


Le management 

Le COSO 

Le management est directement responsable de I’ensemble des activites de 
r organisation, y compris de son systeme de controle interne. Le P-DG 
assume la responsabilite ultime. II est ainsi le premier responsable du systeme 
de controle interne. Pour cela, il doit s’assurer de Pexistence d’un environne- 
ment de controle positif et donner I’exemple par des principes de conduite 
influencant les facteurs ayant trait a 1’ environnement de controle. 

Les directeurs des difFerentes entites sont responsables du controle interne lie 
aux objectifs de ceUes-ci. Ils pilotent le developpement et la mise en oeuvre 
des normes et des procedures de controle interne destinees a permettre la 
realisation des objectifs de I’unite, et s’assurent qu’eUes sont coherentes avec 
les objectifs generaux de la societe. 

Le P-DG ayant I’ultime responsabilite du systeme de controle interne doit 
rendre compte au conseil d’administration de tout ce qui s’y rapporte. 

Le COCO 

Les membres de la direction participent au controle et ont la responsabilite 
d’en rendre compte. 

Le Turnbull 

Le role du management est d’appliquer les politiques de controle et de ris- 
ques defmies par le conseil. Pour cela, le management doit evaluer les risques 
encourus par I’organisation, definir, mettre en oeuvre et piloter un systeme 
de controle interne fiable. 

Le CDR AMF 

Le directeur general ou le directoire sont charges de definir, d’impulser et de 
surveiher le dispositif le mieux adapte a la situation et a Pactivite de la societe. 
Dans ce cadre, ils se tiennent reguUerement informes de ses dysfonctionne- 
ments, de ses insuffisances et de ses difficultes d’application, voire de ses 
exces, et veiUent a I’engagement des actions correctives necessaires. 
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Les cadres financiers 

Pour le COSO, les cadres financiers et leurs equipes jouent un role de pilo- 
tage particuUerement important, puisque leurs activites de controle sont 
exercees sur la structure de I’entreprise, non seulement de haut en bas, mais 
egalement de fagon transversale a travers les autres unites operationneUes et 
fonctionnelles. Ainsi, le directeur financier, le directeur des services compta- 
bles, le controleur de gestion et les autres acteurs de la direction financiere, 
jouent un role determinant dans la facon dont le controle est exerce par le 
management. Le directeur financier (ou le directeur des services compta- 
bles), doit tenir une place cruciale dans la determination des objectifs et I’eta- 
blissement de la strategie de I’organisation, dans I’analyse des risques et la 
prise de decision concernant la fagon de gerer les changements ayant un 
impact sur 1’ organisation. 

Quant au CDR AMF, il souligne que les cadres financiers doivent jouer un 
role important de pilotage et de controle. 


Les autres membres du personnel 

Le COSO 

11 precise que dans une certaine mesure, le controle interne releve de la res- 
ponsabdite de tons les membres du personnel et doit done etre mentionne, 
de fa^on expUcite ou implicite, dans la description de poste de chaque 
employe. Le controle interne est I’affaire de tons et les roles et responsabdites 
de I’ensemble des membres du personnel doivent etre clairement definis et 
efficacement communiques. 

Le COCO 

La responsabdite du controle existe partout dans I’organisation en relation 
avec I’obligation de rendre compte de I’atteinte des objectifs. Les responsa- 
bles, individueUement ou en equipe, de la realisation d’objectifs doivent ega- 
lement etre charges de refficacite du controle qui contribue a la realisation 
de ces objectifs et communiquer les resultats de ces evaluations aux person- 
nes auxquelles elles doivent rendre des comptes. 

Le Turnbull 

11 precise que les employes doivent avoir les competences, la connaissance, 
I’information et I’autorite necessaires pour etablir et suivre le systeme de 
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controle interne. Pour cela, ils doivent connaitre et comprendre les objectifs 
de la societe, le marche sur lequel celle-ci evolue et les risques auxquels eUe 
doit faire face. 

Le CDR AMF 

Chaque collaborateur concerne devrait avoir la connaissance et I’informa- 
tion necessaires pour etablir, faire fonctionner et surveiUer le dispositif de 
controle interne, au regard des objectifs qui lui ont ete assignes. C’est le cas 
des responsables operationnels en prise directe avec le dispositif de controle 
interne, mais aussi des controleurs internes, qui doivent jouer un role impor- 
tant de pilotage et de controle. 

Les auditeurs internes 

Le COSO 

Les auditeurs internes procedent a un examen direct du systeme de controle 
interne et recommandent des ameliorations. Les normes emises par I’llA 
precisent qu’un audit interne doit comprendre I’examen et revaluation du 
caractere sufFisant et de I’efficacite du systeme de controle interne de I’orga- 
nisation ainsi qu’une evaluation qualitative des performances realisees par les 
individus lors de I’execution des taches qui leur sont attributes. La fonction 
d’audit interne n’est pas directement impliquee dans la mise en place ou le 
maintien du systeme de controle interne. Ceci releve de la responsabilite du 
P-DG et de I’encadrement superieur (y compris, eventueUement, le respon- 
sable du departement d’audit interne). C’est dans revaluation des systemes 
de controle interne que les auditeurs internes jouent un role important, con- 
tribuant ainsi a preserver I’efFicacite de ces systemes. 

Le Turnbull 

Les societes ne disposant pas d’une fonction d’audit interne doivent revoir 
regulierement leur besoin en la matiere. Le conseil doit s’assurer de fa^on 
annueUe du besoin de cette fonction. Ce besoin varie en fonction de divers 
criteres (taiUe, diversite, complexite des entreprises, nombre d’employes...). 
11 est indique qu’en I’absence de fonction d’audit interne, le management 
doit appHquer d’autres processus de suivi de maniere a lui fournir, ainsi qu’au 
conseil, I’assurance que le systeme de controle interne fonctionne comme 
prevu. Dans ce cas, le conseil doit s’assurer qu’un tel processus fournit une 
assurance suffisante et objective. 
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Le CDR AMF 

Lorsqu’il existe, le service d’ audit interne a la responsabUite d’evaluer le 
fonctionnement du dispositif de controle interne et de faire toutes preconi- 
sations pour I’ameliorer, dans le champ convert par ses missions. 11 sensibilise 
et forme habituellement I’encadrement au controle interne, mais n’est pas 
directement imphque dans la mise en oeuvre quotidienne du dispositif. Le 
responsable de I’audit interne rend compte des principaux resultats de la sur- 
veillance exercee a la direction generale et, selon des modalites determinees 
par chaque societe, aux organes sociaux. 


Les tiers 

Selon le COSO, plusieurs categories de tiers peuvent contribuer a la rea- 
lisation des objectifs de I’entreprise, parfois grace a des actions menees 
parallelement a ceUes de la societe. Dans d’autres cas, les tiers peuvent four- 
nir des informations utiles a I’entite dans ses activites de controle interne. 
Parmi ces tiers, le COSO cite les auditeurs externes, les legislateurs et les 
autorites de tuteUe, les tiers ayant une interaction avec I’entite, les analystes 
financiers, la presse . . . 


Pour conclure... 

Voici les dix points cles des quatre principaux referentiels de controle interne : 

1 . Le controle interne se definit comme un ensemble de moyens aidant une 
organisation a realiser ses objectifs que I'on peut classer en trois categories : 

- efficacite et efficience des operations ; 

- fiabilite de I'information interne et externe ; 

- conformite aux lois, aux reglements et aux politiques internes. 

2. Le champ du controle interne comporte toutes les activites de gestion, a 
I'exception, selon les referentiels, de I'etablissement des objectifs, de la planification 
strategique, de la gestion des risques et des mesures correctives, des prises de 
decision. 

3. Tout systeme de controle interne ne peut fournir qu'une assurance raisonnable que 
I'organisation pourra atteindre ses objectifs. Il existe en effet des limites inherentes au 
controle interne : 

- erreurs de jugement dans la prise de decision ; 
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- defaillances dues d des erreurs humaines ; 

- controles outrepasses par la direction. 

Par ailleurs, il faut tenir compte de I'equilibre coOts/avantages dans I'etablissement 
d'un systeme de controle interne. 

4. Le systeme de controle interne doit reposer sur des valeurs ethiques troduites dons 
un code de conduite ; les politiques et les pratiques en motiere de ressources 
humaines doivent etre determinees en fonction de ces valeurs ethiques ; les pouvoirs 
et les responsobilites de chacun doivent etre cloirement definis ; les membres de 
I'organisotion doivent posseder les connoissonces et les competences necessoires d 
I'accomplissement de leurs tdches. 

5. L'evoluotion des risques, donnee fondomentole de tout systeme de controle 
interne, exige que les objectifs soient fixes ou preoloble. Ceux-ci, generoux ou 
niveau de I'organisotion et specifiques ou niveau des differentes unites, doivent etre 
cloirs, comprehensifs par tous et mesurobles. 

6. Les risques doivent etre identifies selon un processus continu et repetitif. Il est 
necessoire notomment d'identifier ceux pouvont avoir une incidence importonte sur 
lo realisation de chaque objectif important de I'organisotion. Deux risques meritent 
une attention particuliere : 

- que I'organisotion ne conserve pos so copocite d identifier et d mettre d profit les 
opportunites ; 

- que I'organisotion ne conserve pas so copocite d reogir et d s'odopter lorsque des 
risques nouveaux opporaissent. 

Les risques doivent etre analyses et evolues en fonction de leur probobilite 
d'occurrence et leur impact. 

7. Un systeme de normes et de procedures permettant de s'assurer que les mesures 
necessoires sont prises en vue de maTtriser les risques susceptibles d'offecter lo 
realisation des objectifs de I'organisotion doit etre mis en place. Parmi les activites de 
controle courantes, on trouve I'observotion, lo comporoison, I'opprobotion, lo 
coordination, lo verification, I'autorisotion, le rapprochement, lo supervision, lo 
separation des fonctions... 

8. Il est necessoire de disposer d'une information pertinente, fioble et diffusee ou 
moment opportun oux personnes qui en ont besoin pour leur permettre d'ossumer 
leurs responsobilites, sochont que les besoins en information oinsi que les systemes 
d'informotion doivent evoluer en fonction des chongements de I'environnement. 

9. Il convient de mettre en ovont un processus de surveillance permonente du 
controle interne et de reoliser des evaluations ponctuelles de son efficocite. 

10. Le controle interne est I'offoire de tous : conseil d'odministrotion et ses comites ; 
direction generole ; I'ensemble des managers ; I'audit interne ; tout le personnel. 
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Chapitre 3 

Audit et contrdle interne bancaire : 
la gestion de multiples referentiels 
en contexte international 

Par Eric Lamarque, 

Professeur a I'Universite Montesquieu Bordeaux IV 

ET PAR Francis Lamarque, 

oncien cadre dirigeont de bonque, 
oujourd'hui consultant’. 


L es definitions du controle interne sont nombreuses et les pratiques des 
entreprises en la matiere temoignent d’une grande diversite. Dans son 
rapport 2004 sur le gouvernement d’entreprise et le controle interne, I’AMF 
notait « qu’a la difference de la gouvernance d’entreprise qui beneficie 
desormais de standards de place auxquels les emetteurs peuvent se comparer, 
I’absence d’un referentiel unanimement admis sur le controle interne en 
rend la description plus difficile et peut constituer un frein si Ton souhaite 
parvenir a terme a une evaluation de I’adequation et de I’efficacite des 
systemes ». Dans le secteur bancaire, cette diversite est largement la regie. La 
France, depuis 1997, applique le reglement du 21 fevrier 1997 (CRBF 97- 
02) du Comite de la Reglementation Bancaire et Financiere (CRBF)^, relatif 
au controle interne des etabMssements de credit et des entreprises d’investis- 
sement, modifie par I’arrete du 31 mars 2005. Par aiUeurs, les regies applica- 
bles aux entreprises cotees fournissent d’autres referentiels. Et, selon le lieu 
de cotation, ces derniers peuvent etre differents. Des lors se pose le probleme 

1 . Les auteurs remercient les coUaborateurs des banques interviewes pour ce travail. 

2. Ce comite a pour mission de fixer « dans le cadre des orientations definies par le gou- 
vernenient et sous reserve des attributions du Comite de la reglementation comptable, 
les prescriptions d’ordre general applicables aux etablissements de credit et aux entre- 
prises d’investissement ». 
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du respect de ces difFerents referentiels et la recherche de synergies dans la 
demarche generale de controle, Torganisation mise en place et la coordina- 
tion necessaire entre les difFerents services en charge de la mise en oeuvre de 
ces differents referentiels. 

A cela s’ajoute la specificite de I’activite bancaire, dont le controle necessite 
une orientation particuliere tournee vers la gestion des risques. La diversite 
de ces risques, financiers et operationnels, complexifie la demarche. Pour 
illustrer cette situation, nous avons retenu le cas d’une banque europeenne 
operant en France et cotee egalement a New York. Ainsi, la filiale ffan^aise 
se trouve soumise au CRBF 97-02 frangais, a la loi Sarbanes-Oxley (SOX), a 
Bale 7 } et au referentiel de son pays d’origine. 11 est difficile de decrire ici 
I’ensemble des interactions et des difficultes lies a cette multiplicite et nous 
nous focaliserons surla double contrainte CRBF/SOX. 

Apres avoir decrit les principales caracteristiques de ces referentiels et 
I’orientation particuHere du dispositif de controle dans le contexte bancaire, 
nous nous efForcerons de dresser un bilan des points de convergence et des 
difFicultes de mise en oeuvre de ces dispositifs. 


^affirmation du role cle du controle interne dons lo banque 

Lorsqu’on examine a la fois le CRJ3F 97-02, Bale 2 ou la loi SOX, le point 
de convergence principal reside dans I’afFirmation nette de la necessaire exis- 
tence d’un dispositif de controle interne au sein duquel I’audit interne et 
externe tient une place centrale (tableau n° 1). Cette convergence a conduit 
les etablissements a organiser leur dispositif en differents niveaux et a reflechir 
a la gouvernance generale du dispositif. 


Les differents niveaux de controle 

Le controle interne (Cl) concerne la banque dans toutes ses activites. 11 
s’appbque aux biens, aux individus et aux informations, queUes que soient 
les circonstances ou I’epoque de I’annee.Toutefois, on ne pent controler que 
ce qui est organise. L’ensemble des activites de la banque doit, au prealable, 
etre structure : definition des niveaux de controle, organisation rigoureuse 
de la fonction. 


1 . Le Nouvel Accord de Bale constitue un dispositif prudentiel destine a mieux appre- 
hender les risques bancaires et principalement le risque de credit ou de contrepartie et 
les exigences en fonds propres. 
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Tableau n" 1 - La prise en compte du controle interne selon trois referentiels 


CRBF 97-02 

Bale 2 

SOX 

Entierement tourne vers le 
dispositif de controle 
interne, il se veut exhaustif 
et ne laisser aucun type de 
risque a I’ecart de I’analyse. 
II a pour but de contraindre 
les banques a rationaliser la 
gestion de leurs risques en 
formalisant des obligations 
qualitatives. L’objectif est de 
s’assurer que les risques de 
toute nature sent analyses 
et surveilles et de contrlbuer 
a la detection precoce ainsi 
qu’a la prevention des diffi- 
cultes. Plusieurs disposi- 
tions nouvelles introduites 
par I’arrete du 31 mars 2005 
touchent a I’organisation du 
controle interne. Venant 
completer ou preciser celles 
deja prevues dans les tex- 
tes anterleurs, elles dlstin- 
guent en particulier deux 
aspects Importants : 

- controle permanent et 
controle perlodlque ; 

- role et I’organlsation du 
controle permanent. 

Pilier 2 : 1’objectif est de 
s’assurer que les etabllsse- 
ments de credit appliquent 
des procedures internes 
efficaces pour calculer 
I’adequation de leurs tends 
propres sur la base d’une 
evaluation approfondie des 
risques reellement suppor- 
tes. Les banques doivent 
egalement avoir une strate- 
gie de maintien des tends 
propres. 

Ce dispositit permet aux 
agences de supervision 
bancaire de determiner la 
validite des procedures et 
d’obliger les controles a les 
moditier en cas de doute 
sur leur pertinence. Les 
controleurs peuvent tlxer un 
niveau de tends propres 
superieurs a 8 % si les ris- 
ques I’exigent. Le proces- 
sus de surveillance 
prudentielle rentorcee 
donne, par consequent, une 
plus grande marge de 
manoeuvre aux agences de 
supervision, en leur permet- 
tant de discriminer ditte- 
rents types de banques. 

Section 404 : evaluation du 
controle interne. 

La loi exige que chaque rap- 
port de gestion contienne 
un rapport sur le controle 
Interne, qui dolt : 

- contirmer que la direction 
est responsable de I’etablis- 
sement et de la gestion a la 
tols d’une structure de con- 
trole adequate et des proce- 
dures Internes pour le 
reporting tinancier ; 

- contenir une evaluation de 
I’etticacite de la structure et 
des procedures de controle 
Interne pour le reporting 
financier a la date de cloture 
des comptes. 

Les auditeurs externes doi- 
vent certifier, par le bials 
d’un rapport, revaluation du 
controle interne par la direc- 
tion de I’entreprlse. 


Controles du premier niveau 

II s’agit de I’ensemble des controles eiJectues au sein de chaque service ou de 
chaque unite operationneUe initiant des operations administratives ou ban- 
caires. Les principes d’organisation et les regies de procedures doivent etre 
conrjues de fa^ on a constituer un premier degre veritablement efFicace. Ces 
principes s’organisent autour de : 
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• un recensement exhaustif des fonctions (commerciales, administratives, 
fmancieres et autres exercees au sein de la banque) ; 

• un inventaire des risques lies a chacune de ces fonctions ; 

• une stricte separation des taches ; 

• la formalisation des procedures. 


En pratique 

Ce controle s'integre dans les processus operationnels et fonctionnels pour 
en assurer le deroulement correct. II vise d s'assurer de I'exoctitude et de lo 
conformite des operations, du deroulement correct des procedures et de 
leur adequation d lo nature des operations et des risques qui y sont osso- 
cies. Ce processus en continu peut permettre de decouvrir et de corriger 
ropidement les situations onormales, comme des depossements de plafond 
d'engogement. 


Ce controle fait ainsi appel a la vigilance de chaque salarie dans le travail qu’il 
etiectue en lui permettant d’eviter le moindre risque d’erreur. 11 vise par la 
meme a propager une forte culture de controle. Le controle de premier 
niveau pourrait etre assimile ainsi a un controle des flux. 

Controles du deuxieme niveau 

Les controles de deuxieme niveau sont organises a un niveau hierarchique 
superieur. On y retrouve tons ceux effectues par des services n’ayant pas 
genere eux-memes les operations : 

• le seiArice comptable assure regulierement (mensueUement) la supervision 
de I’ensemble des comptabilites divisionnaires ; 

• les seiArices « credits » du siege s’assurent du respect des delegations, des 
normes et des procedures, des limites d’engagement par contrepartie ; 

• le controle de gestion vise a respecter les budgets des differentes entites. 

Chaque responsable de departement a pour mission, dans le cadre de ses res- 
ponsabilites de management, d’organiser des controles reguliers. Ceux-ci 
doivent etre eflbctues dans chaque departement periodiquement et regulie- 
rement (sur une base mensueUe par exemple) . Us doivent etre formalises par 
ecrit pour ne pas laisser la place a la moindre ambiguite. 

A Tissue de la verification, le controle permanent emet un constat qu’il rap- 
porte au responsable du departement concerne. Le controleur de second 
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niveau s’appuie sur la technique de I’enquete et, plus precisement, utilise les 
questionnaires comme un moyen de verifier les controles realises par les contro- 
leurs operationnels ainsi qu’un moyen de communication avec ces derniers. 

En pratique 

La frequence des controles depend de la nature de la transaction d verifier. 

Si le controleur souhaite par exemple s'assurer de la securite du coffre-fort, 
bien que cette situation presente un risque important pour la banque, ce 
controle ne sera effectue qu'une fois ou, ou mieux, deux fois par on. Ainsi, 
toute operation d caroctere stable est faiblement controlee. En revanche, 
une operation jugee volatile fera I'objet de controles plus frequents. II s'ogit 
notamment du domaine informotique, ou les changements de systemes 
sent assez frequents, ou encore de la tresorerie de la banque. 


Les controles de second niveau repondent au controle permanent demande 
dans le cadre des derniers reglements du controle interne en France. 

Controles de troisieme niveau 

11s sont exerces par le departement Audit Interne pour s’assurer de la realite 
des controles de premier et de deuxieme niveaux. 11s sont eux-memes com- 
pletes par les missions realisees par I’inspection generale du groupe. Ce 
departement lui est d’aiUeurs rattache. Au-dela de sa mission, il a pour prin- 
cipal objectif de s’assurer du bon fonctionnement du controle interne dans le 
cadre notamment de I’application du reglement 97/02. 

Son action s’organise sur la base d’un plan d’audit annuel sounds a la direc- 
tion. File porte sur toutes les activites de la banque, sans aucune exclusion. 
Des interventions non planifiees peuvent etre declenchees en fonction 
d’evenements internes ou externes a sa demande. Les controles et/ou mis- 
sions d’audit font I’objet de notes de synthese ou de rapports qui lui sont 
transmis ainsi qu’aux responsables des sei'vices audites. 

Selon la definition de I’llA, egalement utilisee par les groupes bancaires, 
« I’audit interne est une activite independante et objective qui donne a une 
organisation une assurance sur le degre de maitrise de ses operations, lui 
apporte ses conseils pour les ameborer et contribue a creer de la valeur ajou- 
tee. 11 aide cette organisation a atteindre ses objectifs en evaluant, par une 
approche systematique et methodique, ses processus de management des ris- 
ques, de controle, de gouvernement d’entreprise, et en faisant des proposi- 
tions pour renforcer leur efficacite ». 



100 ['organisation et b conduite de I'audit interne en environnement international 


L’ audit interne participe a la surveillance permanente du dispositif de controle 
interne et fournit une evaluation independante de son adequation et de sa 
conformite avec les procedures et la politique decidee par la banque. Dans 
I’exercice de cette mission, la fonction d’ audit interne aide la direction generale 
et le conseil de surveillance, qui tient Meu de comite d’ audit, a assumer efFective- 
ment et efEcacement leurs responsabilites en matiere de dispositif de controle. 

D’un point de vue global, le champ d’intervention de I’audit interne porte 
sur I’ensemble des activites de la banque. Les missions programmees par le 
departement audit ont pour vocation de tester que le controle effectue par le 
controle permanent est bien assure. 

Un compte-rendu semestriel d’activite et les resultats du controle interne 
sont presentes a I’organe deliberant ainsi qu’un rapport annuel des elements 
essentiels et des enseignements principaux des mesures de risques, notam- 
ment de repartition des engagements par zone de vulnerabihte. 

Ce troisieme niveau est complete par les audits externes des commissaires 
aux comptes qui collaborent notamment avec I’audit interne pour optimiser 
la couverture des activites a auditer. 11s sont destinataires du rapport de syn- 
these decrivant les conditions dans lesqueUes le controle interne est assure sur 
I’ensemble du groupe et du rapport de synthese sur la mesure et la sur- 
veillance des risques auxquels les etablissements de credits sont exposes. 

In fine, un controle interne structure associe a une fonction d’audit interne, 
et un audit externe independant participent a un gouvernement d’entreprise 
sain. Cette organisation est la cle d’un controle interne Liable et efficace face 
aux nouveaux defis de 1’ environnement bancaire et financier. 


Ameliorer la gouvernance du dispositif 

A la lecture du CRBF 97-02, il ressort une enumeration de grands principes 
a respecter par les etablissements assujettis. L’ obligation de se conformer a ce 
texte de loi ; qui ne suggere aucun principe d’application, pose un probleme 
d’interpretation par le systeme de controle des operations et des procedures 
internes. Le nouveau reglement sur le controle interne introduit une exi- 
gence tres forte de formalisme, s’imposant a toutes les directions des etablis- 
sements de credit. Dans beaucoup de cas, cette exigence n’est pas facilement 
realisable ou culturellement eloignee (par exemple en salle de marche). 
Outre cette condition generale d’efficacite, deux elements peuvent favoriser 
le rendement du dispositif : ameliorer la coordination entre les acteurs et 
completer le dispositif par le recours au referentiel COSO. 
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La coordination des octeurs dons le systeme de controle 

Le besoin de coordination se situe a plusieurs niveaux selon la taiUe des orga- 
nisations et leur degre d’internationalisation. Dans le contexte d’une banque 
de taiUe mondiale, la complexite augmente et le besoin de coordination et de 
pilotage est d’autant plus lourd et couteux. 

Le point decisif reside dans la quaUte de la coordination entre les instances de 
gouvernance. Le schema ci-apres resume ces besoins. 



Schema n" 1 - La coordination des acteurs 


De nombreux auditeurs relevent la complexite du travail dans le contexte 
bancaire. Dans leur role d’organe de revision, Us ne verifient pas seulement 
les etats financiers. 11s prennent position sur le respect des elements pruden- 
tiels et des conditions d’agrement et a ce titre sont surveilles par les instances 
etatiques de controle. Par ahleurs, ils doivent constater le (non-)respect de la 
reglementation bancaire, se prononcer sur la situation financiere et le renta- 
bihte et notamment presenter des indications quantitatives et quahtatives sur 
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la situation des risques (adequation de la politique des risques, gestion et 
controle) . 

La dimension internationale ajoute un element de complexite a ce dispositif 
et aux besoins de coordination afin de creer des synergies dans le controle. 


En pratique 

A titre d'exemple, I'organisation du controle interne dons une bonque 
europeenne de toille mondiole distingue le controle interne relevant du 
CRBF 97-02 de celui de I'audit relevant de la loi SOX. 

Et, bien que n'oyont oucune ligne hierorchique dons I'organisation SOX, le 
controle permanent de la bonque europeenne subit pourtont les exigences 
de cette loi. Ainsi, les controleurs permanents sont controints de rediger les 
guides d'oudit decrivont les processus « metier » pour le compte de I'audit. 


En revanche, la planification des missions Sarbanes-Oxley reste dissociee de 
celles du controle permanent et la collaboration entre ces deux organisations 
n’est pas etablie. En efFet, cette planification emane de la direction Monde, 
alors que les controles requis dans le perimetre du CRBF 97-02 sont decides 
au niveau francais. Cette absence de consultation entre ces deux cellules cree 
une situation de double controle. Une synergie entre I’audit monde et 
I’audit local est indispensable afm d’eviter les doubles controles et de realiser 
une reduction des couts et/ou une optimisation des moyens. 

Par aiUeurs, il est constate que les controles SOX relevant de la hierarchie 
« monde » beneficient d’une attention particuliere avec I’octroi d’une enve- 
loppe budgetaire importante, contrairement aux moyens debloques pour le 
controle permanent. 

Ajoutons a cet exemple que le controle permanent, contrairement a la direc- 
tion Croupe responsable des controles SOX, ne s’appuie pas sur une carto- 
graphie des risques indispensable pour : 

* les identifier et faire en sorte que les differents acteurs aient la meme idee 
des risques business ; 

* instaurer un langage conmiun en ce qui concerne ces risques. 

Au niveau des relations Monde/France, le groupe audit France est rattache 
directement au president du directoire de cette fiUale. En function des mis- 
sions efFectuees, I’audit France rend compte aux dirigeants (dans le cadre des 
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missions d’audit classiques) et au comite d’audit de I’entite juridique auditee 
(pour les missions SOX) ainsi qu’au responsable de la ligne metier auditee. Le 
groupe audit France rapporte au responsable du groupe audit mondial. Ce 
rattachement est destine a assurer Findependance de la function d’audit 

Malgre I’etendue des risques geres dans le cadre du 97-02, ceux notamment 
d’erreur humaine ou de fraude, ainsi que les parametres de marches, ne peu- 
vent etre integralement maitrises. 

Le recours au COSO, outil complementaire en contexte international 

Tout modele de controle possede natureUement ses limites. En complement 
des directives du CRBF 97-02 ou de SOX, le modHe COSO, preconise 
mais non exige par la Securities Exchange Commission, fournit des elements 
complementaires . 

Comme nous I’avons vu dans le chapitre precedent, la definition du COSO 
suggere que « le controle interne est le processus mis en oeuvre par le conseil 
d’administration, les dirigeants et le personnel d’une organisation, destines a 
fournir I’assurance raisonnable quant aux objectifs suivants : 

• reahsation et optimisation des operations ; 

• fiabihte des operations financieres ; 

• conformite aux lois et aux reglementations en vigueur ». 

L’idee est de fournir une assurance raisonnable sur le fonctionnement de 
I’etablissement et d’impliquer I’ensemble du personnel dans le dispositif. Les 
travaux du COSO, qui ne sont pas les seuls mais ont le merite de I’anteriorite 
et beneficient d’une large approbation, representent symboliquement le 
controle interne d’une entite par une pyramide composee de cinq elements. 
Cette representation signifie que ces cinq elements - que nous allons brieve- 
ment rappeler^ — doivent imperativement se retrouver dans toute organisation 
pour une maitrise raisonnable des activites a tons les echelons de la hie- 
rarchie. 

Envirormement de controle interne 

L’environnement de controle constitue un element tres important de la cul- 
ture d’une entreprise, puisqu’il determine le niveau de sensibilisation du per- 
sonnel au besoin de controles. 11 constitue le fondement de tous les autres 


1. Pour une presentation detaillee du COSO, voir dans cet ouvrage la contribution de 
Louis Vaurs et de Florence Fradin, « Une comparaison des principaux referentiels de 
controle interne » (p. 53). 
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elements du controle interne, en imposant discipline et organisation. Les 
facteurs ayant un impact sur I’environnement de controle comprennent 
notamment : 

• I’integrite, I’ethique et la competence du personnel ; 

• la philosophie et le style de management des dirigeants ; 

• la politique de delegation des responsabdites, d’ organisation et de forma- 
tion du personnel ; 

• I’interet manifeste par le conseil d’ administration et sa capacite a defmir 
les objectifs. 

Evaluation des risques 

Toute entreprise est confrontee a un ensemble de risques externes et internes 
qui doivent etre evalues. Avant de proceder a cette evaluation, il est neces- 
saire de defmir des objectifs compatibles et coherents. Ainsi, revaluation des 
risques consiste en I’identification et en I’analyse des facteurs susceptibles 
d’affecter la realisation de ces objectifs. Cette identification doit deboucher 
sur une cartographic des risques et une evaluation de la perte potentieUe 
recurrente ou exceptionneUe (risques majeurs) attachee a ces risques. 

En outre, il s’agit d’un processus qui permet de determiner comment ces ris- 
ques doivent etre geres en termes de prevention (reduire la probabilite 
d’occurrence) ou de reduction si le risque survient neanmoins (protection, 
assurance et auto-assurance) . 

Enfin, compte tenu de revolution per mane nte de 1’ environnement micro et 
macroeconomique, du contexte reglementaire et des conditions d’ exploita- 
tion, il est necessaire de disposer de methodes permettant d’identifier et de 
maitriser les risques specifiques a ces changements. 

Activite de controle 

Les activites de controle peuvent se defmir comme I’application des normes 
et des procedures qui contribuent a garantir la mise en oeuvre des orientations 
emanant du management. Ces operations permettent de s’assurer que les 
mesures necessaires sont prises en vue de maitriser les risques susceptibles 
d’affecter la realisation des objectifs de I’entreprise. Les activites de controle 
sont menees a tons les niveaux hierarchiques et fonctionnels de la structure et 
comprennent des actions aussi variees qu’approuver et autoriser, verifier et 
rapprocher, apprecier les performances operationneUes, la protection des 
actifs ou la separation des fonctions. 
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Information et communication 

L’ information pertinente doit etre identifiee, recueillie et diffusee sous une 
forme et dans des delais permettant a chacun d’assumer ses responsabilites. 
Les systemes d’information produisent, entre autres, des donnees operation- 
nelles, fmancieres ou encore liees au respect des obligations legales et regle- 
mentaires, qui permettent de gerer et de controler I’activite. 

Ces systemes traitent non seulement les donnees produites par I’entreprise, 
mais egalement ceUes emanant de I’exterieur (evenements, marche de I’acti- 
vite, contexte general) et qui sont necessaires a la prise de decision en matiere 
de conduite des affaires et de reporting externe. 

11 existe egalement un besoin plus large de communication efficace, a la fois 
ascendante, descendante et horizontale. Le management doit transmettre un 
message clair a I’ensemble du personnel sur toutes les responsabilites en 
matiere de controle. Les employes doivent comprendre le role qu’ils sont 
appeles a jouer dans le systeme, ainsi que la relation existant entre leurs pro- 
pres activites et ceUes des autres membres du personnel, lls doivent etre en 
mesure de faire remonter les informations importantes. 

Par ailleurs, une communication efficace avec les tiers, tels que les clients, les 
fournisseurs, les autorites de tuteUe ou les actionnaires, est aussi necessaire. 

Pilotage 

Les systemes de controle interne doivent eux-memes etre controles afin 
qu’en soient evaluees, dans le temps, les performances qualitatives. 

Pour cela, il convient de mettre en place un systeme de suivi permanent ou 
de proceder a des evaluations periodiques, ou encore de combiner les deux 
methodes. Le suivi permanent s’inscrit dans le cadre des activites courantes et 
comprend des controles reguliers effectues par le management et le person- 
nel d’encadrement, ainsi que d’ autres techniques appliquees par le personnel 
a I’occasion de ses travaux. L’etendue et la frequence des evaluations periodi- 
ques dependront essentieUement de revaluation des risques et de I’efFicacite 
du processus de surveillance permanente. Les faiblesses de controle doivent 
etre portees a I’attention de la hierarchie, les lacunes les plus graves devant 
etre signalees aux dirigeants et au conseil d’ administration. 

Le COSO est un cadre efficace qui permet une evaluation de la quaUte et 
I’efficacite des processus internes de I’entreprise. Un manque de qualite dans 
Pun de ces processus peut faire diminuer les performances et une irregularite 
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au niveau du controle peut provoquer des consequences negatives afFectant la 
fiabdite des rapports financiers. 


Une analyse comparative 

La mise en oeuvre du dispositif de controle dans le secteur bancaire est claire- 
ment orientee vers la gestion des risques. La maitrise des risques constitue 
I’un des piUers de la competitivite des etabUssements d’autant plus que ceux- 
ci se sont multiplies et ont pris une dimension operationneUe significative. 
Cette dimension risque se retrouve largement dans le cadre des missions 
d’audit externe realisees. Ensuite, la mise en oeuvre simultanee d’une mission 
SOX et du dispositif CRBF 97-02 fait ressortir des elements de convergence 
et de divergence qu’il faut exploiter pour optimiser I’efficacite et les couts de 
ces controles. 


Nature des risques bancaires et specif icite de leur approche 

Le titre IV du reglement 97-02 s’attache a imposer des procedures adequates 
de mesure des principaux risques auxquels les etabUssements s’exposent dans 
le domaine des risques de credit, de marche, de taux d’interet global, d’inter- 
mediation, de liquidite, de reglement, operationnel et de non-conformite. 


La vision du risque du CRBF 97-02 et ses prolongements 

Une definition de ces differents types de risque est donnee au titre 1, 
article 4. On les regroupe aujourd’hui en deux categories : risques financiers 
et operationnels. 

Les risques financiers 

11s sont de cinq types differents. 

Pour le risque de credit, la procedure a mettre en place permet d’analyser la 
situation de la contrepartie liee et conduit a une classification interne des ris- 
ques sur la base des dossiers de credit (article 19). Ces dossiers de credit 
regroupent I’ensemble des informations qui vont permettre d’identifier pre- 
cisement les engagements a I’egard du beneficiaire, done de cerner les ris- 
ques. Les etabUssements peuvent dans ce cadre developper des outUs de 
notation interne, afin de rendre la selection des risques plus Uomogene et de 
faciliter la prise de decision. 
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Concernant le risque de marche, il faut une mesure quotidienne et exhaus- 
tive des risques resultant des positions du portefeuiUe de negociation et de 
I’adequation des fonds propres. La methode retenue doit permettre I’agrega- 
tion des positions relatives a des produits et a des marches difFerents au niveau 
de I’entreprise ou du groupe. 

Pour le risque de taux d’interet global, il convient de reaUser le suivi de 
I’exposition globale de I’entreprise assujettie au risque de taux avec notam- 
ment une evaluation reguHere des risques en cas de forte variation des para- 
metres de marche. La mesure de ce risque doit permettre d’apprehender les 
facteurs de risque de taux d’interet global et d’evaluer I’impact de ces difFe- 
rents facteurs sur leurs resultats et leurs fonds propres. 

Quant aux risques d’intermediation, des procedures de suivi permettent 
d’apprehender les engagements a I’egard des donneurs d’ordres et des 
contreparties et de recenser par donneur d’ordres les garanties constitutes 
sous forme de depots d’especes ou d’instruments financiers. Le controle de 
ce risque suppose notamment pour chaque donneur d’ordres la prise en 
compte des operations deja realisees, sa situation financiere, enfin le calcul 
journaher de la valeur de marche de ses positions acheteuse et vendeuse. 

Enfm, pour les risques de liquidite et de reglement, des procedures permet- 
tent aux etablissements assujettis de connaitre leur exposition au risque de 
reglement, a mesure qu’ils concluent de nouveUes operations. 

Les risques operationnels 

Le dispositif vise a maitriser le risque resultant d’une inadaptation ou d’une 
defaiUance imputable a des procedures, du personnel et des systemes inter- 
nes ou a des evenements exterieurs. La notion de risque operationnel a ete 
elargie apres adoption du reglement 2004-02 du CRBF, auparavant limite 
aux defaillances liees aux systemes comptable ou d’information. 11 com- 
prend desormais ceUes imputables a des causes internes (procedures, person- 
nel, systemes) ou a des evenements externes (attentats, catastrophes 
naturelles) . 

11 en va ainsi du risque de non-conformite, une organisation (prevue par 
I’article 6 du reglement 97-02) visant a maitriser le « risque de sanction judi- 
ciaire, administrative, ou disciplinaire de perte financiere significative ou 
d’atteinte a la reputation, qui nait du non-respect des dispositions propres 
aux activites bancaires ou fmancieres, qu’eUes soient de nature legislatives ou 
reglementaires ou qu’il s’agisse de normes professionneUes et deontologiques ». 
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Quant aux systemes de surveillance et de maitrise des divers types de risques 
financiers (de credit, de marche de taux d’interet global, d’intermediation, 
de reglement et de liquidite), ils doivent comporter un dispositif de limites 
globales (article 33). 11 s’agit pour chaque type de risque, de se fixer des Unii- 
tes a ne pas depasser, et ce en function de la nature et du volume des activites 
de I’etablissement. Les entreprises assujetties doivent egalement reexaminer 
leur systeme de mesure des risques et de determination des limites afm qu’il 
reste pertinent dans le temps. 

Le dispositif de limites globales doit etre revu au moins une fois par an par 
I’organe executif ou I’organe deliberant. Les entreprises assujetties ont I’obM- 
gation de (article 34) : 

* s’assurer en permanence du respect des procedures et des limites fixees ; 

• informer les entites ou les personnes designees a cet effet de I’ampleur des 
tassements et des actions correctrices proposees ou entreprises. 

Des limites operationneUes peuvent egalement etre fixees au niveau des dif- 
ferentes entites d’ organisation interne. EUes doivent etre etablies en cohe- 
rence avec les limites globales. 

Apres la mise en place d’outils quantitatifs de controle des risques, il est 
devenu indispensable que les etabhssements relevent le defi du renforcement 
de leurs systemes internes de controle. Cette evolution, nee avec des risques 
de marche doit concerner I’ensemble des activites bancaires. Au cours des 
dix dernieres annees, la commission bancaire a encourage les etablissements 
de credit a renforcer leurs dispositifs de controle. Ces recommandations sent 
au coeur du dispositif reglementaire CRBF 97-02 sur le controle interne. 

La commission bancaire, dans le cadre des pouvoirs dont eUe dispose par la 
loi bancaire, veiUera a ce que les etabhssements les moins avances se donnent 
les moyens d’atteindre les objectifs definis, pour que le renforcement du 
controle interne contribue effectivement a la detection precoce et a la pre- 
vention des difficultes. 


La vision risque de I'audit externe bancaire 

Pour remplir sa mission, I’auditeur va s’inscrire dans les thematiques du 
COSO en particulier autour de trois axes. 

Analyse de 1’ environnement 

Quelle est I’interaction de la banque avec son environnement ? La reponse a 
cette question suppose une analyse globale, operationneUe et strategique. 
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mais aussi reglementaire. Au-dela, ce sont les parties prenantes qui sont ana- 
lysees en regardant jusqu’a leurs attentes par rapport a I’institution. 

Appreciation de la culture risque et degre d’elaboration du systeme 
de gestion des risques et de controle interne 

L’auditeur va tenter d’evaluer la politique risque au regard des documents 
que pent lui fournir la banque, des entretiens avec les dirigeants. Il est done 
preferable de pouvoir disposer d’elements formalises pour affirmer I’exis- 
tence d’une teUe politique. Cette derniere est eUe-meme le fruit de la com- 
prehension, de la mesure et du controle realise. On pent ainsi observer 
certains comportements types comme eviter de rentrer sur tel ou tel marche, 
reduire ou transferer un risque par I’utilisation de derives de credit. Ensuite, 
il est necessaire de fixer les limites au-dela desqueUes on ne souhaite pas aUer 
par categories de risques. Les documents de reporting qui en decoulent doi- 
vent montrer I’evolution de I’exposition de maniere individuelle ou globale. 

Appreciation et analyse de ebaque risque 

Aucun domaine d’activite et aucun type de risque (financier ou non finan- 
cier) ne doit echapper a I’audit. La nouveaute est I’emergence d’un risque de 
reputation qui decoule de I’ensemble des autres risques. L’estimation reste 
assez delicate et les consequences difficiles a evaluer. Au-dela de I’estimation, 
fauditeur doit aussi comprendre comment ils sont geres et controles. Ce tra- 
vail consiste a regarder si les mesures prises par la banque en vue de les mini- 
miser sont efficaces et adequates. 

Seule une telle analyse permet de s’assurer que les risques sont bien identifies 
et correctement refletes dans les comptes annuels. A ces trois axes, s’ajoute 
une analyse du respect des conditions d’autorisation donnees aux cadres de la 
banque et plus generalement des regies de comportement. 

Ainsi, le controle de tons les risques necessite un renforcement du controle 
interne. Les etablissements de credit disposent desormais d’un cadre clair et 
precis des regies de controle interne qu’ils doivent respecter. 


La conduite d'une mission SOX et comparatif CRBF 97-02 

Il appartient aux dirigeants de la banque internationale, sous le controle de la 
commission bancaire et de la Securities Exchange Commission, de definir et 
de mettre en oeuvre les procedures adaptees a la bonne application de la 
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reglementation et a veiller a la coherence des orientations strategiques qu’ils 
auront arretees. 

L’observation dans deux filiales du groupe a permis de comparer les deux 
organisations. En France, le departement audit est appele a conduire a la fois 
des missions « classiques » dans le cadre de la reglementation locale ou des 
missions SOX. Au Royaume-Uni, la distinction se fait entre les auditeurs 
« Global Markets » et les « testeurs » dedies exclusivement aux missions SOX. 


Tests d'efficacite 

Un element cle de SOX reside dans les tests d’efficacite. 11 s’agit en fait d’une 
application directe de I’article 404 de la loi. LeTOE (Test of efficiency) verifie 
que les controles internes du reporting financier fonctionnent de fa^on a 
empecher ou de teeter des erreurs materielles dans les rapports financiers. 
Celui-ci est conduit par I’audit a Paris ou les testeurs a Londres. 

Un tel test constitue Fun des outils les plus importants pour I’audit interne 
afin d’evaluer I’efficacite des controles internes selon des criteres appropries. 
Afin d’assurer le maximum de pertinence et de fiabiUte, le TOE doit 
s’appuyer sur des preuves documentees et aboutir a une evaluation ecrite sur 
I’efficacite du controle interne dans la banque. Ces tests sont conduits suivant 
le planning annuel pour assurer la fiabibte des processus de reporting et au- 
dela, la fiabibte des etats financiers pour le management et les actionnaires. 

On ne pent decrire id I’ensemble des tests et du deroulement d’une telle 
nbssion, mais le travail avec des auditeurs a pernus de dresser un prenber 
comparatif des difficultes et des synergies possibles liees a la necessite de 
mettre en oeuvre deux referentiels. 


Les difficultes de la loi 

Au rang des principales difficultes, on retrouve plusieurs elements. Ainsi, les 
guides d’audit SOX posent souvent des problemes d’interpretation. En effet, 
etant con^us par la maison mde, la description de certains controles n’est 
souvent pas adaptee a la reabte locale. De plus, ces guides comportent une 
multitude de controles tres formels et parfois tres theoriques. Par ailleurs, ces 
controles s’ajoutent a une charge de travail mal vecue surtout par ceux ayant 
a realiser les controles permanents. On parle alors de syndrome « nbUe- 
feuiUe », ou I’empilage des controles rend le tout assez indigeste. 

L’ autre souci pose par SOX est que toutes les operations sont traitees a tort de 
la meme maniere. 
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En pratique 

Dans le secteur bancaire, la place s'est accordee d ne pas verifier les che- 
ques emis en dessous de 5 000 euros, car cela coOte moins cher de pren- 
dre en charge les sinistres que de les prevenir. La saisie et la validation du 
cheque pourrait ainsi etre confiee d un junior. Or, la loi SOX exige « le 
principe des 4 yeux », quelle que soit I'operation. 


Enfin, les missions SOX content cher. En efFet, chacune dure en moyenne 
trois semaines lorsque la documentation est communiquee a temps par les 
operationnels. Lorsqu’un test est defadlant, il faut prevoir a nouveau une 
equipe pour efFectuer les controles. L’ audit pent egalement Faire appel a des 
consultants externes, comme dans la Fihale anglaise ou trois consultants ont 
ete recrutes : un pour la conception des guides d’audit, un autre pour la 
coordination SOX, enfin un dernier pour I’analyse des risques. 

Malgre la « lourdeur » des controles imposes par la legislation SOX, les ris- 
ques, notamment d’erreur humaine et de fraude, ne peuvent etre prevenus ni 
empeches. Les limites a cette loi resident egalement dans la Faculte de juge- 
ment laissee aux auditeurs. 


Necessite d'un comparatif 

Au-dela de I’apport methodologique, la loi Sarbanes-Oxley suscite des 
reticences a son adoption en entreprise du Fait du Formalisme et de la mul- 
titude des controles qu’eUe impose. Des lors, il est necessaire d’eFFectuer 
un comparatiF car, a I’evidence, on assiste a des doubles controles non neces- 
saires. En eFFet, la surquabte d’un dispositiF ne conduit pas a des appreciations 
Fondamentalement meiUeures. A titre d’exemple, I’observation des pratiques 
amene a penser qu’il y aurait en eFFet opportunity a confier la responsabilite 
de certains controles SOX au controle permanent. 

Ce constat rejoint les recommandations Faites par I’lFAcl, qui a participe a la 
conception du cadre de reFerence AMF en France sur le controle interne, 
affirmant qu’il est necessaire de tenir compte du rapport cout/benefice et de 
ne pas developper des systemes de controle inutilement couteux, quitte a 
accepter un certain niveau de risque. 

Par aiUeurs, les sinblitudes avec le CRBF 97-02 conduisent a reflechir a des 
mutualisations de moyens autour de difFerents axes. En efFet, ces textes 
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demandent a chaque etablissement de credit de se doter d’une approche 
structuree du controle interne, declinee a partir des orientations generales 
des niveaux hierarchiques les plus eleves (conseil d’administration, direction 
generale) jusqu’au niveau operationnel. En impliquant davantage les organes 
decisionnels, ils contribuent a accroitre la conscience au plus haut niveau des 
risques auxquels I’etablissement de credit s’expose. Ainsi, la culture risque 
cultivee par un referentiel fournit un terreau favorable pour adopter I’autre. 

Par ailleurs, SOX et le CRJ3F 97-02 couvrent tous deux le risque lie au trai- 
tement des operations comp tables. C’est dans ce domaine que les synergies 
doivent etre les plus importantes. Notons en revanche que le CRBF 97-02 
va au-dela du bdan en integrant dans son analyse des risques le hors-bilan. 

De plus, Particle 42 du CRBF 97-02 et la section 404 de SOX prevoient 
tous deux un rapport annuel sur le controle interne a soumettre respective- 
ment a la commission bancaire et a la Securities Exchange Commission. En 
revanche, lorsque Particle 42 se limite a decrire les conditions dans lesqueUes 
le controle interne est effectue, la section 404 exige une evaluation de Peffi- 
cacite du controle interne. Ce dernier point constitue un complement utile 
dans le cadre de la reglementation locale. 

Enfin, le CRJ3F 97-02 et SOX prevoient un reporting au comite d’audit. 

On pent relever egalement des elements de divergences pouvant conduire a 
des enrichissements mutuels : 

• lorsque SOX impose une organisation et une veritable methodologie, le 
CRBF 97-02 laisse Pentreprise libre de ses moyens ; 

• lorsque SOX, nee des scandales financiers, se hmite a la couverture des 
risques lies aux etats financiers, le CRBF 97-02 couvre Pensemble des 
risques auquel peut etre expose un etablissement de credit ; 

• lorsque le CRJ3F impose des controles continus de Pactivite et une cor- 
rection des ecarts par le controle operationnel, SOX procede par echan- 
tiUonnage et la correction d’ecarts ne releve pas de la responsabilite des 
testeurs. 

En dehors du dernier point, il est peut-etre utile de mener une reflexion sur 
le cadrage methodologique apporte par SOX pour amehorer la qualite du 
controle interne a la ffanq:aise. Meme si la reaction premiere est le rejet du 
formahsme et Papprehension du dispositif comme une contrainte supple- 
mentaire, cette derniere peut se transformer en reeUe opportunity pour ame- 
liorer Pevaluation de la securite des dispositifs. 


iroupe Eyrolles 


Audit et controle interne bancaire 1 1 3 


Pour conclure... 

La gestion des risques, ainsi que I'audit et le controle internes, doivent reellement etre 
opprehendes comme un processus continu dont I'opplicotion doit etre gorontie en 
permanence. Ce processus doit assurer I'identificotion des deficiences et lo prise de 
mesures de correction odequotes. Il ne peut s'ogir d'une appreciation figee des 
risques d un instant donne. Des lors, I'efficocite du dispositif devient une reelle source 
d'ovantoge concurrentiel pour un etoblissement. En sus de lo vision purement 
« controle », lo combinoison de ces dispositifs fournit un outil de pilotage oyont 
vocation d omeliorer les pratiques et pos seulement d sanctionner. Les etoblissements 
ayont pris conscience de I'opportunite qui leur est offerte ouront une longueur 
d'ovonce. 
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Chapitre 4 


Les difficultes de communication liees 
d la pratique de I'audit interne 

d I'international 

Par Christian Bertheuil, 

consultant 


L e metier d’audit interne comprend trois facettes essentielles. 

La premiere est evidemment technique : tons les auditeurs internes 
appliquent une methodologie qui leur permet d’arriver a leurs conclusions. 

La deuxieme est relationnelle. En effet, le metier d’auditeur interne sup- 
pose des contacts : en face-a-face avec les coUaborateurs des entites audi- 
tees, mais aussi avec d’autres personnes, dans le cadre de leur recherche 
d’information. La diversite des personnes rencontrees est, en fonction des 
themes abordes et des problematiques traitees, importante : les auditeurs 
internes vont rencontrer des membres de la direction generale, mais aussi 
des coUaborateurs tout en bas de la hierarchie. De plus, ces personnes 
auront des metiers et des domaines d’expertise tres divers et varies, souvent 
eloignes de la formation des auditeurs internes. Pour ajouter aux difficul- 
tes, les modes de rencontre entre auditeurs internes et audites sont multi- 
ples dans le cadre d’une mission d’audit. Le mode de rencontre le plus 
souvent pratique est le face-a-face, souvent dans le bureau de I’audite. 
N’oublions pas que la methodologie implique aussi la pratique de reunions 
d’ouverture et de cloture, exercices souvent difficiles et combien impor- 
tants pour la suite des evenements ; d’autres rencontres, tels que des ate- 
liers, peuvent aussi etre mises en pratique. Cette facette sera appelee 
« communication orale » dans cette contribution. 

La troisieme facette est ceUe de reporting (le terme anglo-saxon induit une 
notion d’ecrit et d’oral que le mot ffan^ais de « rapport » ne comporte pas). 
11 s’agit de « rapporter » pour faire agir et, la, I’ecrit est le support essentiel. 
Cette facette sera appelee « communication ecrite » dans ce chapitre. 
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Les developpements qui suivent ont done pour objet de montrer la pratique 
de la communication orale et de la communication ecrite dans les activites 
d’audit interne, d’en presenter les difFicultes et de mettre en exergue leur 
multiplication en environnement international. 

Ce chapitre abordera, comme corollaire de la communication, les attitudes et 
les comportements qui sont, compte tenu des differences de culture aux- 
queUes sont conffontes les auditeurs internes, sans doute parmi les elements 
les plus importants a considerer. 


La communication dans les activites d^audit interne 

Le siecle a vu revolution de nombreuses techniques de communication 
qui ont ete en partie a I’origine des besoins de communiquer des personnes, 
tant sur un plan personnel que professionnel. 

Dans I’entreprise, les techniques de communication ecrites et orales se sont 
multipliees dans la plupart des metiers. 11 sufFit de consulter un catalogue de 
formation pour se rendre compte de I’abondance et de la diversite des offres 
en la matiere. 

Le metier d’audit interne ne fait pas exception a la regie : les normes et les 
modalites pratiques d’application publiees par I’llA en temoignent. 


La communication ecrite et orale appliquee au metier 
d'audit interne 

Les auditeurs internes doivent savoir communiquer tant par ecrit que par 
oral. Si, en general, U ne reste officiellement que le rapport d’audit, il faut se 
rappeler que, tout au long de la mission, I’auditeur interne a de nombreux 
contacts qui ont tons une incidence sur la mission elle-meme et sur son 
deroulement. 

La communication ecrite constitue le support du travail effectue, eUe devient 
la « memoire » de la mission. Son fond et sa forme sont importants, car e’est 
sur les ecrits des auditeurs internes que sont prises des decisions. Certaines le 
sont par des personnes qui, a un instant t, en savent beaucoup moins que les 
auditeurs internes sur le sujet. C’est notamment le cas des decisions relatives 
aux recommandations souvent enoncees par une direction generale legiti- 
mement eloignee du terrain, d’ou I’importance de la qualite des ecrits. 
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La communication orale, die, permet de recueiUir et de preciser des infor- 
mations, d’obtenir des audites des explications et des renseignements sur des 
points qui ne sont pas toujours formalises dans les entreprises. Les difficultes 
du recueil d’informations sont nombreuses : 

* manque de temps des audites ; 

* manque de connaissance de la fonction audit interne et de son 
fonctionnement ; 

* image negative de la fonction ; 

* audites reticents a donner une information plus ou moins confidentieUe. 

Tous les auditeurs internes ont connu un jour dans leur metier cette depense 
d’energie pour obtenir un element d’information necessaire a connaitre a un 
moment donne. 

C’est de ces difficultes et des moyens de les eviter ou de les surmonter qu’il 
sera question ici. L’emphase sera placee sur I’augmentation de ces difficultes 
en contexte international, c’est-a-dire dans un environnement plus ou moins 
connu sur le plan de la langue et des comportements. 


Les difficultes de la communication 

Comme nous I’avons dit precedemment, la communication n’est facile ni a 
Lecrit, ni a Loral dans le metier d’audit interne. Quelles sont les principales 
difficultes rencontrees ? 


Les difficultes de la communication ecrite 

La premiere difficulte du redacteur vient de ce qu’il n’ecrit pas pour lui- 
meme, mais pour un autre, sans connaitre toujours ses veritables attentes. 

Il faudrait d’aibeurs ecrire « pour d’autres » au pluriel — et c’est la, la 
deuxieme difficulte - puisque les lecteurs des ecrits d’audit vont etre plu- 
sieurs et vont souvent avoir des attentes et des besoins differents. Prenons un 
exemple pour iUustrer ce propos. 

La troisieme difficulte — et pas la moindre — est due a ce qu’un ecrit doit pou- 
voir etre compris rapidement et facilement par tous ses lecteurs, sans avoir a 
revenir sur les phrases en raison d’une forme inadequate ni sur le raisonne- 
ment du a un fond mal developpe. 

Sur ce point, tous les lecteurs partagent la meme attente : pouvoir aUer vite 
et lire aisement. 
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En pratique 

Si on considere une mission d'oudit sur la comptobilite, le responsoble de 
la comptobilite, le directeur financier et le directeur general ouront des 
ottentes tres differentes. Celles du premier seront tres operotionnelles vis-d- 
vis de la mission. Le second souhoitero sovoir si les risques essentials sont 
sous controle et si les regies sont respectees, olors que le DG aura des 
ottentes plus larges et beoucoup moins operotionnelles ovec un besoin de 
details moins important que les deux premiers. 


Les difficultes de la communication orale 

Parler avec une autre personne peut sembler simple. La ou les choses se com- 
pliquent, c’est qu’en communication orale, il existe souvent des obstacles et 
des pertes. 

Sans entrer dans les details, nous savons que les obstacles peuvent provenir de 
I’emetteur lui-meme (I’audite) qui n’a peut-etre pas a sa disposition toute la 
capacite souhaitee pour exprimer ce qu’il veut. lls peuvent aussi provenir du 
recepteur (I’auditeur), qui peut ressentir un manque de connaissance du 
metier audite ou de 1’ environnement lui-meme (bruit, manque de confort, 
etc.). En ce qui concerne les pertes, eUes peuvent etre multiples et provien- 
nent du passage de I’idee a sa formulation en mots, puis de I’ecoute et de la 
comprehension. 

Enfm, une autre difFiculte des entretiens d’audit vient de la necessite de rete- 
nir ce qui a ete dit, done en general de prendre des notes en meme temps 
que Lon echange des paroles : il y a alors un decalage dans le temps, prejudi- 
ciable a la communication. 


La communication ecrite au service des auditeurs internes 

Nous mettrons ici en evidence les difficultes engendrees par I’exercice de 
I’audit interne dans un environnement international, apres avoir evoque les 
enjeux et les fondamentaux de la communication ecrite en audit interne. 


Les enjeux de la communication ecrite en audit interne 

Ecrire fait partie integrante du metier d’auditeur interne. C’est en effet la 
fagon (sauf pour les entretiens) la plus courante de communiquer avec les 
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audites et avec les mandants de la mission d’ audit, ainsi que d’echanger avec 
I’equipe d’audit (superviseur, chef de mission, etc.) et avec les equipes 
d’auditeurs internes a venir. 

Ecrire est aussi la seule fa^ on de laisser des traces (notion de tra^abdite) a la 
fois pour Taction a mettre en oeuvre et pour le suivi de cette action, mais 
aussi pour la reprise des audits futurs dans le cas de missions recurrentes. 

Les ecrits d’audit sont multiples (lettre de mission, compte-rendu d’entre- 
tien, synthese, rapport, etc.) et tons bases sur Tobservation et Tanalyse tout au 
long de la nbssion. 11s ne se resument en aucun cas aux seuls comptes-rendus 
d’entretiens. 

S’il est facile d’ecrire pour soi, la principale difFiculte de Tecrit professionnel 
reste, comme il a ete precise plus haut, de rediger pour d’autres lecteurs, par- 
fois inconnus, en : 

• comprenant leurs besoins ; 

• se mettant a leur place ; 

• anticipant les questions qu’ils pourront se poser. 

En effet,Tauditeur interne est a un instant t devenu le specialiste du domaine 
audite. 11 a analyse les processus et procedures, a mene les tests, investigue et 
compulse des documents, rencontre les audites et entendu les difficultes 
qu’ils connaissent et done maitrise a fond son sujet. S’il detient un nombre 
important d’informations en tete que n’ont pas ses futurs lecteurs, il n’a 
d’ailleurs parfois pas conscience de toutes les informations formeUes ou 
informeUes dont U dispose. 

La difficulte consiste a faire passer Tensemble de ses connaissances (ainsi que 
d’autres messages comme les recommandations) a differents types de lecteurs 
qui n’ont ni les memes attentes, ni les memes besoins, ni les memes objectifs. 

Les auditeurs internes doivent done savoir ecrire de fagon claire, precise, 
concise, neutre et objective. 

Ecrire clairement permet d’etre compris de tons. A ce niveau, il faut savoir se 
mettre a la portee de tous les lecteurs et se poser notamment la question des 
termes techniques et du jargon professionnel ; cela est particulierement vrai 
sur certains themes d’audit comme Tinformatique, la finance ou les ques- 
tions juridiques. L’auditeur devra employer des termes simples ou definir de 
fa^on simple les termes employes. 

La precision, elle, vise a ne pas susciter de questions inutHes. Le langage de 
Taudit interne ne doit pas soufffir d’imprecision qui amene les lecteurs a 
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poser ou a se poser des questions sur le sens de ce qui est ecrit. Notons que 
I’imprecision peut en outre amener les lecteurs a douter de ce qui est ecrit, 
voire a prendre de mauvaises decisions. 

Quant a Tecriture concise, elle permet de ne pas generer de perte de temps. 
Les difFerents lecteurs ne disposent pas tons du meme temps pour lire les rap- 
ports et d’autres ecrits d’audit. La concision permet, sans mot ni periphrase, 
de tout ecrire. 

La neutralite assure de ne pas devenir juge du domaine audite. L’objectif 
d’une mission d’audit est d’assurer la conformite (audit reglementaire) ou la 
couverture satisfaisante des risques (audit operationnel), mais en aucun cas de 
porter un jugement sur les personnes. Les auditeurs internes travaiUent sur 
les processus, les procedures, les organisations, les structures, etc., mais jamais 
sur les personnes. 

Enfm, rediger objectivement permet de ne pas prendre parti. L’ecrit est des- 
criptif et factuel, ne donne I’opinion de I’auditeur que sur les actions et leur 
resultat, ne doit pas inclure de notion de « bien » ou de « mal », mais unique- 
ment evaluer ce qui est par rapport a ce qui devrait etre. 

11 est done imperatif, tant pour la faebite d’ecrire que pour celle d’etre lu, de 
disposer d’une methodologie d’ecriture, qui presente deux objectifs : 

• aider le redacteur dans son travail afm d’y investir le moins de temps pos- 
sible, lui permettant notamment de finabser un rapport de mission dans 
les meilleurs delais ; 

• aider le redacteur a sortir de ce seul role, a se mettre a la place de ses lec- 
teurs et ainsi de comprendre et done de repondre a leurs besoins et a leurs 
attentes. 


Les fondamenfaux de la communication ecrite 
pour les auditeurs internes 

D’une grande simplicite, la methodologie se compose de quatre phases, dont 
deux de reflexion prealables a la redaction proprement dite. Trop souvent (et 
la micro-informatique n’a pas amebore les choses), le redacteur se lance en 
pensant que la revision de son texte sera facile. C’est la une erreur, car toute 
revision prend du temps et entraine des modifications en chaine. En outre, si 
eUe est faite a la demande d’une tierce personne, cela peut provoquer une 
reticence de I’auteur, done forcement de la tension. 


iroupe Eyrolles 


© Groupe Eyrolles 


Les difficultes de communication liees d b pratique de I'audit interne d I'international 1 21 


Premiere etape 

II s’agit d’une etape de reflexion. C’est egalement une phase de marketing, 
en ce sens on eUe consiste a considerer les lecteurs comme des cHents et 
I’ecrit comme un produit destine a satisfaire un besoin client. Il convient 
alors de se poser les questions suivantes par rapport aux lecteurs (les clients) : 


Les bonnes questions 

• Qui sont les clients/lecteurs ? 

• Quels sont leurs veritables attentes et leurs besoins reels par rapport ou 
produit (document ecrit) ? 

• Quelle est leur connoissonce du sujet ? Sont-ils des experts ou ou 
controire des neophytes, voire des ignoronts du sujet ? 

• Quel est leur interet pour le sujet ? Vont-ils etre possionnes, cor veritoble- 
ment portie prenonte dons le sujet troite ou ou controire simplement inte- 
resses sons etre vroiment concernes ? 

• Quel est leur temps disponible pour lire le document ? Vont-ils en foire 
une lecture ossidue et y passer un temps important ou une lecture 
ropide, voire portielle ou tres portielle ? 


A ce niveau, il est important de prendre conscience de la multiplicite des 
clients et done de leur besoin, ce qui a pour consequence la mise a disposi- 
tion non pas d’un seul, mais de plusieurs produits. En realite, il conviendra 
de rediger un document dit « a plusieurs niveaux de lecture », permettant de 
satisfaire toutes les attentes des cMents/lecteurs. 

Une fois les lecteurs identifies, il apparait essentiel de se poser la question de 
I’objectif du document qui peut notamment servir a : 

* informer, sensibiliser, faire prendre conscience ; 

* alerter, prevenir d’un risque ; 

* faire decider, faire agir ; 

* repondre a une question ; 

* faire evoluer. 

Deuxieme etape 

C’est la aussi une etape de reflexion, pouvant cependant donner beu a une 
partie d’ecrit en function de la longueur et de la complexite du sujet. Il 
s’agit, a ce niveau, de construire le processus redactionnel pour I’adapter en 
deternnnant les messages essentiels a faire passer, puis les messages annexes. 
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Par « message », il faut entendre les points essentiels sur lesquels nous souhai- 
tons attirer I’attention de nos lecteurs. En fonction de ces messages, il s’agit 
ensuite tout d’abord d’organiser les idees les unes par rapport aux autres : 
quelles sont les idees fortes, essentielles ? 

Il convient aussi de proceder a un tri et a une hierarchisation des 
informations : quelles sont les informations importantes qui vont soutenir et 
argumenter le message ? Quelles sont celles de moindre importance ? 

Enfin, il faut concevoir un plan detaiUe afin de permettre I’enchainement 
logique des idees et le passage facile (notion de fil conducteur) d’une idee a 
une autre. En d’autres termes, il s’agit de guider nos lecteurs, de leur faciliter 
la tache, de les « aider » a lire. 

Troisieme etape 

La troisieme phase consiste a passer a la redaction qui peut, en fonction de la 
complexite de I’ecrit et des capacites redactionnelles de chaque auditeur 
interne, necessiter un projet avant redaction definitive. 

A ce niveau, il est important d’entretenir une bonne communication dans 
I’equipe : en effet, un des gains de temps pour I’equipe d’audit consiste a 
« faire bien » des le premier jet. Il convient done de connaitre le style sou- 
haite par le responsable de la mission : souhaite-t-il plutot un style developpe 
ou lapidaire ? Jusqu’a quel niveau de detail veut-il aUer ? Etc. N’oublions pas, 
comme nous I’avons souligne precedemment, que toute reprise d’ecrit est 
longue et mentalement penible. 

La redaction va porter sur le fond et sur la forme. Des normes redactionnel- 
les et de presentation, qu’il convient de respecter en plus des standards 
d’ecriture, peuvent exister dans les organisations. 

Le fond, qui concerne le message et les idees, constitue la partie essentieUe, 
car e’est sur cette base que vont etre prises les decisions, notamment de mise 
en oeuvre ou non des recommandations. 

La forme, eUe, concerne la presentation, la mise en page, la typographie, etc. 
Elle est tres Hee au fond en ce sens ou, si la forme n’est pas bonne, le lecteur 
ne s’attache qu’a eUe et ne se concentre plus sur le fond. Sans la forme, le 
fond n’est pas lu, sans le fond, la forme ne sert a rien. 

Quatrieme etape 

Le processus redactionnel ne s’acheve qu’apres une quatrieme phase, dite de 
relecture, qui a pour objectif de livrer un produit totalement fini. La relec- 
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ture suit des regies precises : eUe doit etre organisee par objectif et centree sur 
la nature des erreurs a supprimer, en fonction des difficultes particulieres que 
se connait le redacteur. 


En pratique 

Deux relectures au moins sont necessaires : 

- une sur le fond, par exemple centree sur les liens logiques entre les diffe- 
rentes parties du raisonnement, sur la presence d'un fil conducteur, le choix 
et la place des informations rapportees, etc. ; 

- une autre sur la forme, par exemple focalisee sur les repetitions, la lon- 
gueur des phrases, la ponctuation, etc. 


Les difficultes liees au contexte international 

EUes concernent tous les auditeurs internes qui ne sont pas totalement bilin- 
gues et qui ecrivent reguUerement dans une langue etrangere. 

La premiere difficulte vient de la prise de note. Lors d’un entretien, il n’est 
pas si facile de prendre des notes dans sa langue materneUe et de s’inventer 
une ecriture abregee afin de ne pas deteriorer la qualite de la communication 
avec I’audite. 11 est done d’autant plus difficile de prendre des notes - surtout 
facilement et efficacement reutHisables — dans une autre langue que la sienne, 
et ce, quelle que soit la maitrise de la langue. Cela passe notamment par la 
mise en place et I’apprentissage d’une ecriture rapide, d’un ensemble d’abre- 
viations et de symboles. 

La deuxieme difficulte est due a I’ecriture du rapport lui-meme, en particu- 
lier du vocabulaire et done de la precision des mots employes. 11 n’est pas 
toujours facile de traduire precisement en mots sa pensee dans sa propre lan- 
gue. Ce probleme se complexifie dans une langue etrangere. En effet, meme 
si nous possedons bien cet idiome, notre precision s’averera rarement aussi 
bonne que dans notre langue materneUe. 

La troisieme difficulte — toujours dans I’ecriture du rapport - s’explique par 
la grammaire et la syntaxe dans une langue etrangere. Si cette derniere ne 
nous est pas parfaitement connue, notre fa^ on de rediger ne sera pas optimale 
et la forme de notre ecrit oberera le fond. 
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La derniere difficulte provient de la reecriture par une tierce personne qui va 
plutot travaiUer sur la forme de notre ecrit et parfois en modifier - sans en 
avoir I’intention — la forme. 

Bien evidemment, les difficultes augmentent si plusieurs langues sont utiU- 
sees an cours de la mission. C’est par exemple le cas lorsqu’une langue vehi- 
cule commun de communication est utilisee alors qu’eUe n’est ni la langue 
materneUe des auditeurs internes, ni ceUe des audites. 

Et que dire de la situation ou aucune langue commune n’existe entre auditeurs 
internes et audites et qu’U est alors necessaire de faire appel a un interprete ? 


La communication orale au service des auditeurs 

Nous mettrons en evidence les difficultes engendrees par I’exercice de I’audit 
interne dans un environnement international apres avoir evoque les enjeux 
et les fondamentaux de la communication orale en audit interne. 


Les enjeux de la communication orale en audit 

Pour simplifier, nous definirons la communication orale en audit interne 
comme tout echange entre auditeur et audite, que ce soit en groupe - reu- 
nions d’ouverture et de cloture — ou en face-a-face — entretiens d’audit. 

Sans que cela se verifie pour toutes les organisations ni pour toutes les per- 
sonnes auditees, il existe un certain nombre d’images negatives de la function 
audit interne qui nuisent a la qualite de la communication orale entre audi- 
teurs et audites : 

• I’espion : I’auditeur interne est considere comme celui qui va noter sans 
rien dire et rapporter a quelqu’un d’autre, sans que cela soit bien precis 
dans la tete de I’audite ; 

• le representant de la direction generale : I’auditeur interne est considere 
comme le missi dominici de la DG, envoye pour controler, verifier ; 

• le procedurier : I’auditeur interne est considere comme celui qui veut a 
tout prix que soit respectee une procedure, meme si celle-ci ne convient 
pas ou si une solution plus operationneUe au traitement d’une donnee a 
ete trouvee ; 

• le non-speciaHste : I’auditeur interne est considere comme une personne 
ne connaissant pas le travail effectue par I’entite auditee et done ne pou- 
vant rien lui apporter ; 


iroupe Eyrolles 


© Groupe Eyrolles 


Les difficultes de communication liees d b pratique de I'audit interne d I'international 1 25 


• le chronophage : I’auditeur interne est considere comme un preneur de 
temps, sans retour sur le temps pris et la mission d’audit est ressentie 
comme une perte de temps par I’audite. 

Ces images (et bien d’autres sans doute) sont dues essentiellement a deux fac- 
teurs. Tout d’abord, il s’agit de la meconnaissance de la fonction. En effet, 
peu de coUaborateurs savent definir la fonction audit interne et la facon dont 
est menee une mission d’audit. 

Le second facteur est la mauvaise communication des auditeurs. Sachons 
faire notre mea culpa. Nombreux sont les auditeurs internes qui ne pensent 
pas necessaire ou qui ne prennent pas le temps de communiquer sur leur role 
et leur mission, ce qui laisse planer un doute dans la tete des audites qui sou- 
vent n’osent pas demander de precisions ni poser de questions. 

Malgre cela, les images positives de I’audit existent, mais sont beaucoup 
moins souvent citees par les audites. On pent dire que I’audit apporte dans 
une entite : 

• la prise de recul : souvent, les operationnels sont tres pres des operations 
et ne prennent pas de recul (organisation, procedures, structures...), ce 
que savent faire les auditeurs ; 

• la vision neuve et impartiale : les auditeurs n’etant pas des operationnels 
de la fonction auditee, ils ont une vision non orientee par des habitudes 
de fonctionnement et denuee de partialite, leur permettant de remettre 
en cause des modes operatoires ; 

• la vision globale : les auditeurs voient I’ensemble des processus et ne se 
limitent done pas, comme e’est le cas pour bien des operationnels, a une 
partie du fonctionnement d’une entite ; 

• le transfert de bonnes pratiques : les auditeurs internes analysent de nom- 
breux processus et peuvent transferer des pratiques rencontrees dans 
d’autres entites, des famous de faire ou de traiter des donnees ; 

• le temps et la methodologie d’audit : les auditeurs internes suivent une 
methodologie d’analyse qui leur permet de tout voir et de tout analyser, 
en prenant le temps, ce que ne peuvent pas faire les operationnels, trop 
souvent bloques par des echeances. 

L’objectif de la communication orale des auditeurs internes va consister a 
developper les images positives et a amoindrir les images negatives de fagon a 
ameliorer la qualite et I’efFicacite des echanges avec les audites. 
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Les fondamentaux de la communication orale pour les auditeurs 

Une des fagons de pallier ces images negatives et de renforcer les images posi- 
tives consiste a travailler a une meiUeure communication vis-a-vis des audi- 
tes. Nous partons ici du principe que la qualite de la communication a une 
incidence importante sur le resultat. 

Trois outils de base 

La communication orale passe par de nombreux outils et techniques, dont 
trois tres basiques, qui peuvent etre facilement travaiUes. 

Ainsi, la communication verbale designe les mots que nous utdisons. Cer- 
tains termes ou expressions nuisent au dialogue et peuvent entrainer chez 
I’interlocuteur mefiance, apprehension, agressivite ou lassitude... Ce sont la 
des reactions contraires a Taction. 11 est done necessaire de penser et de peser 
les mots avant de les utiHser. 

La communication paraverbale, elle, passe par la vorx, qui constitue un ins- 
trument de communication dont il faut savoir jouer, notamment en reunion. 
On distingue en general les caracteristiques suivantes dans la voix (qui peu- 
vent toutes etre travaiUees) : 

* la diction ou la fa^on de dire, qui comprend Tarticulation et la 
pronunciation ; 

* la modulation ou la fa^on d’alterner les parties parlees de la phrase et les 
silences ; 

* le debit ou la vitesse d’emission des mots (un debit trop important nuit a 
la comprehension, mais un debit trop lent entraine une perte d’interet) ; 

* le volume ou amplitude du son : il est plus ou moins fort suivant la quan- 
tite d’air utilisee par les poumons (un volume trop faible nuit a la compre- 
hension, un volume trop fort est agressif) . 

Enfin, considerons la communication non verbale. En effet, la communica- 
tion ne passe pas que par la parole et par la voix, mais aussi par d’autres 
moyens comme les expressions corporeUes et les attitudes. Ainsi, les princi- 
paux elements de communication non verbale sont : les yeux, le visage, les 
mains, les silences et Tespace. 

Les chhfres suivants peuvent surprendre, mais ils sont unanimement admis : 
nous communiquons a environ 55 % par le mode non verbal, a 38 % de 
fagon paraverbale et a 7 % verbalement. Cela pent se comprendre, puisque 
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dans toute situation de presence nous sommes d’abord vus, puis entendus et 
enfin ecoutes. 


Des techniques specifiques 

Au-dela de notre capacite a communiquer par nos mots, notre vorx et notre 
corps, nous disposons en tant qu’auditeurs internes de techniques et d’outils 
specifiques aux differentes situations rencontrees sur le terrain. 

Sans les detaiUer tons ici, nous souhaitons en exposer quelques-uns auxquels 
tons les auditeurs devraient etre formes. Ainsi, les techniques de questionne- 
ment permettent de chercher les reponses a des questions, tout en mainte- 
nant — a condition d’utiliser le bon type de question au bon moment — une 
relation positive. 

Les signes de reconnaissance, eux, permettent a I’auditeur d’abord de her une 
relation positive avec un audite, puis en cours d’entretien de faciliter et de 
conforter I’expression de ce dernier. 

Quant a I’ecoute active, elle permet de se dedier completement au discours 
de I’audite sans etre poUue par des elements exterieurs ou par des filtres 
personnels et professionnels. 

La reformulation constitue une double assurance pour I’auditeur d’avoir 
compris ce qui a ete dit, et pour I’audite d’avoir ete entendu et compris. 

De son cote, la synthese autorise un rapide resume des points essentiels et de 
s’assurer que rien n’a ete omis dans la prise de notes. 

Enfm, grace a la boussole du langage, il est possible d’aUer au-dela des mots, 
en veiUant a ce que le non-dit soit exprime. 11 faut aussi evoquer ici des styles 
d’interviews pouvant etre adaptes aux comportements des audites et aux cir- 
constances. L’un des maitres mots en communication pour les auditeurs 
internes est en effet de savoir s’adapter aux audites. 

11 convient egalement de travailler en function des comportements des audi- 
tes. Si la tres grande majorite des entretiens d’ audit se passent bien, certains 
comportements sont tres poUuants par rapport a I’efficacite et done au resultat. 

Arretons la cette Mste. Cependant, il importe de savoir qu’il existe ici aussi 
des moyens et des techniques pour faire face a ces situations qui peuvent 
avoir deux consequences si nous n’y prenons pas garde. La premiere conse- 
quence reside dans la perte d’information, de temps et d’energie. En effet, le 
temps et I’energie passes a « lutter » avec I’audite ne sont pas consacres au 
developpement d’un entretien constructif. La deuxieme consequence est un 
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risque de perte d’objectivite : sommes-nous tout a fait objectifs dans notre 
reporting d’un entretien qui se passe mal ? 


En pratique 

Qui n'a pas un jour rencontre un hyperbavard qui noie des informations 
importontes sous un flot de paroles oyont tendance d foire foiblir notre 
attention ? 

Qui n'o pas un jour rencontre un audite « deviant » qui repond d cote de 
lo question et finit par nous foire douter de notre quolite de 
questionnement ? 

Qui n'o pos un jour rencontre un audite colereux qui s'emporte sons rete- 
nue et sons que nous I'oyons vu venir ? 

Qui n'o pos un jour rencontre un audite destobilisont qui joue lo montre 
afin d'eviter les questions ? 


L'exercice de la transparence 

Au-dela des outils et des techniques, I’exercice de la transparence permet 
aux auditeurs internes de briser les barrieres et de favoriser I’expression 
des audites. Get exercice de transparence passe par plusieurs attitudes de 
communication. 

En premier lieu, il est legitime que les audites connaissent la signification de 
la fonction d’audit interne puisqu’ils vont participer a son fonctionnement. 11 
est done necessaire que chaque auditeur puisse la definir en termes adaptes a 
ses audites, bien evidemment sans utHiser notre « jargon » d’auditeurs. Ima- 
ginez la tete d’un audite lambda a qui Ton definit la fonction comme etant 
« I’assurance de I’existence et de I’efFicacite des controles internes » ou, en 
d’autres termes, I’assurance que les risques sont « under control ». Les auditeurs 
internes doivent disposer d’une presentation - materiaUsee ou non - de 
I’audit interne, natureUement la meme pour tous. 

Ensuite, U est normal que les audites connaissent les objectifs de la mission. 
11s vont passer du temps a nous permettre de nous assurer de la gestion des 
risques et a nous montrer - n’oublions pas que ce sont eux qui connaissent le 
mieux leur travail — la ou se situent les points faibles du systeme. Cette 
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transparence leur permettra aussi de nous apporter en confiance les elements 
necessaires pour elFectuer la mission. 

En outre, il releve de la pure politesse qu’ils sachent un minimum de choses 
sur nous. Ce dernier point permet aussi de demander a I’audite de se presen- 
ter et done aux deux parties de commencer une relation positive qui va per- 
mettre des echanges plus libres et plus efFicaces. 

Enfm, presenter une vision du futur de la mission aide a donner confiance. 
EUe permet aux audites de savoir ce qui se passera au-dela du travail de ter- 
rain, seule partie de la mission qu’ils verront. 

Ces quatre exercices de transparence peuvent etre menes a differentes etapes 
de la mission. 11 est clair que la reunion d’ouverture constitue un moment 
privilegie pour cela. Cependant, n’oublions pas que toutes les personnes 
interviewees ne sont pas presentes a cette reunion. Avant de commencer un 
entretien, sachons done nous rappeler qui a obtenu ou pas telle information. 


Les difficultes liees au contexte international 

La difficulte essentielle provient de la langue etrangere dans laquelle se 
deroulent les entretiens et les reunions. La encore, il faut se mefier et s’assurer 
que la communication soit bien passee, quitte a « sur utdiser » des outils 
comme la reformulation. 

Si les efforts peuvent venir de la part des audites, ils doivent etre principale- 
ment fournis par les auditeurs, qui doivent tout mettre en oeuvre pour eviter 
la barriere de la langue et user de la formation linguistique et de I’entraine- 
ment a la prise de parole. 

11 convient notamment de travailler sur la precision du langage, done sur le 
vocabulaire. 

En cas d’interprete interpose, il est difficile de pouvoir faire autre chose que 
confiance. Cependant, I’observation visueUe des reactions des interlocuteurs 
pent servir a reperer des signes de non-comprehension ou de surprise chez 
les audites, dont il faudra essayer d’obtenir la signification ma I’interprete. 


Le comportement comme vehicule de communication 

Nous mettrons ici en evidence les pieges a I’international apres avoir evoque 
I’induction reciproque des comportements et les fondamentaux du compor- 
tement. 
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L'induction reciproque des comportements 

Element primordial de la communication, notre comportement va en partie 
induire celui des audites. Soyons aussi conscients que, si nous n’y faisons pas 
attention, le comportement des audites peut aussi influer sur notre compor- 
tement, quelquefois de fa^ on negative. 


Les fondamentaux du comportement pour les auditeurs internes 

Deux elements doivent rester a I’esprit de tons les auditeurs internes lors des 
missions menees sur le terrain. 

Le premier s’intitule « effet de halo », qui veut que nous soyons capables 
d’imaginer la personnalite de quelqu’un a partir de son allure physique. 
Cette premiere impression d’autrui se transforme souvent en un premier 
jugement, en un prejuge a son egard. Si, en tant qu’auditeur, nous savons 
nous abstraire de cela, faisons attention au fait que nos interlocuteurs ne 
savent peut-etre pas s’en abstraire, ce qui peut les amener a developper un 
ressenti negatif a notre egard, qui a un effet demultipbcateur, pour peu que 
leur image de la function audit interne soit elle aussi negative. 

Le deuxieme element se nomme « effet PygmaUon » et induit qu’une per- 
sonne se conduise comme nous I’attendons d’elle. Ainsi, si nous sommes 
persuades qu’une personne va dissimuler des informations, nous serous sus- 
picieux et notre interlocuteur va le ressentir. II va alors se mefier et exercer 
une certaine retention d’information. 

Ajoutes aux outils et aux techniques de communication orale et a la pratique 
de la transparence, ces deux elements permettent, en principe, de faire face a 
toute situation d’ audit. 

Tous ces outils nous permettent, non pas de changer notre personnalite, ce 
qui serait une erreur, mais de travailler sur nos attitudes et done de piloter 
notre comportement en fonction de celui des audites, et ce dans un but 
d’efhcacite de I’information recueihie. 

Si nous ajoutons, et cela se travaille aussi, une bonne dose d’ affirmation de 
soi et de capacite a exprimer notre demande en toutes circonstances de facon 
posee et directe, nous avons en main tout ce qu’U faut pour reussir notre mis- 
sion sur le terrain. 

II reste cependant a nous assurer que nos attitudes n’engendrent pas de qui- 
proquo aupres de nos interlocuteurs. En effet, nous sommes souvent entrai- 
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nes a piloter notre comportement en environnement corniu, mais qu’en est-il 
en environnement inconnu on mal connu ? 


Les pieges a I'international 

Nous avons evoque plus haut les pieges de la langue, mais ceux du compor- 
tement se produisent bien plus frequemment et ont souvent des consequen- 
ces plus importantes, pour deux raisons. 

• on pent toujours revenir sur un mot et le remplacer par un autre apres 
discussion ; 

* une erreur de comportement pent nous echapper et, meme si Ton s’en 
apercoit, il est plus difficile de revenir en arriere. 

Quatre para metres 

Les ouvrages sur le comportement en milieu multiculturel sont nombreux. 
Une rapide recherche sur Internet permet de s’en apercevoir. 

Ainsi, le psychologue neerlandais Geert Hofstede (1994), se fondant sur 
I’analyse statistique du comportement au travail des collaborateurs d’environ 
sorxante-dix filiales d’un grand groupe international reparties dans le monde 
entier, deduit un certain nombre de postulats caracterisant les populations 
rencontrees. Selon lui, quatre parametres essentiels ont un impact sur notre 
comportement au travail et sur notre relation aux autres. 

L’indice de distance hierarchique 

Ce parametre, defmi comme le degre d’inegalite attendu et accepte par les 
personnes, va se traduire pour les auditeurs internes par la facilite a avoir 
acces a telle ou telle personne en fonction de son niveau hierarchique. 


En pratique 

Un exemple recemment vecu en tant que formateur a permis de constater 
que dans un grand groupe franpais, seui le chef de mission peut avoir 
acces d un niveau hierarchique donne. Cela signifie que lui seuI peut inter- 
viewer tel niveau hierarchique et non les auditeurs internes, a fortiori s'ils 
sont juniors. 
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Le degre d’individualisme ou de collectivisme 

Notez que ce dernier mot n’a bien evidemment ici rien a voir avec sa signi- 
fication politique traditionneUe. 

Ce parametre se definit comme le role de I’individu et du groupe dans la 
societe. Dans une societe individualiste, les personnes seront plus tournees 
vers eUes-memes alors que dans un environnement coUectiviste, eUes seront 
plus tournees vers le groupe et auront tendance a s’efFacer au profit de I’inte- 
ret de ce dernier. 

Ce parametre va se traduire pour les auditeurs internes dans la facilite qu’ils 
auront a obtenir de I’information en fonction de I’acceptation plus ou moins 
forte des collaborateurs a une fonction de I’entreprise differente de la leur. 

Pour avoir effectue des missions d’ audit en AUemagne dans des conditions de 
communication difficiles (langue non parlee et utilisation d’un interprete), 
nous avons eu, a I’epoque, le sentiment d’etre plus « aide » par les audites que 
nous ne I’aurions ete en France. 

Le degre de masculinite ou de feminite 

11 designe le role social attribue a chaque sexe et dont les valeurs associees au 
travail sont differentes. Si les valeurs masculines seront I’avancement, le chal- 
lenge, la remuneration ou la reconnaissance, celles feminines seront la qualite 
relationneUe, la cooperation, la securite de I’emploi, etc. 

Pour les auditeurs internes, cela se traduira par la qualite de la relation avec 
les groupes rencontres, notamment dans la cooperation et dans la facilite a 
obtenir des informations et des explications sur les taches effectuees. 

L’indice de controle d’incertitude 

Ce dernier parametre correspond a I’expression du niveau d’anxiete existant 
dans une societe donnee face a un avenir incertain. Le degre de controle 
d’incertitude d’un pays mesure done le degre d’inquietude de ses habitants 
face aux situations inconnues ou incertaines. Ce sentiment s’exprime, entre 
autres, par le stress et la necessite de previsibiUte : un besoin de regies, ecrites 
ou non. 

Pour les auditeurs internes, cela se traduira par la forte ou faible existence de 
regies et de procedures et de leur plus ou moins grande formaUsation. 

Peut-on deduire de ces quelques lignes qu’une typologie pent etre etablie et 
que Ton peut programmer son propre comportement de telle ou telle fagon 
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avant d’aller faire une mission d’ audit dans tel ou tel pays ? Certainement pas, 
mais cela peut nous aider a comprendre et a accepter certains comporte- 
ments qui ne nous sont pas familiers. 11 reste que, par definition, une per- 
sonne est unique et que son comportement le sera aussi. Done, si Ton peut 
prevoir un certain nombre de choses, il faudra rester adaptable et reagir au 
cas par cas. 


En pratique 

En France, pays a fort besoin de controle de I'incertitude, les procedures 
sont souvent nombreuses et documentees, tondis que dons d'outres pays, il 
est plus difficile de trouver des procedures ecrites, voire des procedures 
tout court I 


Quelques exemples 

Les exemples qui suivent aident a iUustrer cette tres courte analyse des diffe- 
rences de comportement. 

S’il est normal en France de se serrer la main en se rencontrant, il n’en va pas 
de meme dans certains pays anglo-saxons dans lesquels, en revanche, 
Femploi du prenom est rapide et courant. 

Par aiUeurs, si se regarder en face est courant et recommande lors d’un entre- 
tien d’audit en Europe, il n’en va pas de meme dans certains pays d’Afrique 
ou, notamment en cas d’ecart d’age et/ou de niveau hierarchique entre 
I’auditeur interne et I’audite, il convient de ne pas trop regarder son interlo- 
cuteur dans les yeux. 

Et que dire de la distance entre deux personnes qui se parlent debout ? Les 
Anglo-Saxons vont garder une distance « respectable », alors que les Bresi- 
liens seront tres proches Fun de I’autre, a un point qui peut surprendre un 
Europeen. 

Quant a la tenue vestimentaire, eUe peut aussi surprendre nos interlocuteurs. 
Sans aUer chercher des vetements de facture fort differente, il est evident que 
la mode francaise et ceUe d’Americaine du Nord sont bien differentes et que, 
quelle que soit notre pratique de la langue d’Elemingway, il sera difficile de 
ne pas ressembler a un « Frenchie » en entrant dans un bureau. 
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Pour leur part, les contextes politiques entre deux pays peuvent aussi a un 
moment donne compliquer les choses : ce n’est plus I’auditeur interne que 
Ton voit enter, mais la personne de telle ou telle nationalite, representant 
telle ou telle position politique de son pays. 

Evoquons aussi ici la notion de temps, qui ne semble pas etre la meme pour 
tous. Le respect des horaires — debut d’une reunion de travail par exemple — 
ne semble pas avoir la meme signification dans tous les pays. . . 

De plus, il est possible de compliquer les choses en ajoutant, dans certains 
pays, la notion de relation homme/femme qui peut fortement differer de ce 
qu’elle est sur note continent et induire des situations quelque peu tendues, 
voire conflictueUes. 

Enfm, encore un mot sur les religions, qui ont aussi une incidence sur les 
horaires — absence des personnes aux heures de priere — ou imposent de ne 
pas commencer un tour de table du « mauvais cote ». 


Pour conclure... 

Alors que faut-il faire ? Doit-on se dire que les missions d'oudit interne ne peuvent 
avoir lieu qu'en pays connu ou qu'il faut des equipes d'auditeurs internes dans 
chaque pays et « qu'ils n'en sortent pas » ? 

Peut-etre vaut-il mieux disposer d'equipes internationales et en tout etat de cause 
adaptables aux differents contextes. Encore faut-il que, pour s'adapter, les auditeurs 
internes sachent comment proceder. 

La connaissance des us et les coutumes du pays dans lequel nous travaillons est 
indispensable pour adopter un comportement et une communication positive d 
I'egard de nos audites : pour cela, il convient d'investir un peu de temps pour 
apprendre, comprendre et accepter les differences. 

Ensuite, il faut posseder un certain nombre d'outils et de techniques de 
communication afin de communiquer en toutes circonstances. Si ces techniques ne 
sont pas toujours faciles ni simples d mettre en oeuvre, elles s'apprennent. 

Enfin, il est necessaire de travailler un minimum sur soi pour eviter des reactions bien 
spontanees qui pourraient choquer ou froisser. 

S'il fallait resumer ces quelques lignes par un seui mot, peut-etre celui qui viendrait d 
I'esprit serait adaptabilite. 


Partie II 


La contribution de I'oudit interne 
ou processus de gouvernonce 

de Kentreprise 
en environnement international 



Chapitre 5 


L'objecHvife de revaluation 
de la corporate governance 
par I'audit interne 

Par Christophe Godowski, 

MaTtre de Conferences d I'Institut d'Administration des 
Entreprises (lAE) de I'Universite Fronpois-Robelais 

de Tours 


L ’objet de ce chapitre est d’expliciter le ou les roles de la fonction d’audit 
interne dans le processus de corporate governance. 11 n’est pas rare de rele- 
ver dans de nombreuses sources bibUographiques que le processus global 
d’audit, auquel la fonction d’audit participe, constitue un mecanisme de 
regulation du comportement des parties prenantes dans leurs relations avec la 
firme. Dans le meme temps, les normes Internationales pour la pratique pro- 
fessionneUe de I’audit interne donnent pour mission a la fonction d’audit 
interne d’evaluer le processus de gouvernement d’entreprise et de formuler 
les recommandations appropriees en vue de son amelioration (article 2130). 
Au regard de ces deux elements, il apparait que I’audit est a la fois juge et 
partie dans le processus de corporate governance. La question sous-jacente est 
alors de savoir si les deux missions sont finalement conciUables. L’objectivite 
du jugement de I’auditeur interne sur le processus de corporate governance ne 
risque-t-eUe pas d’etre remise en cause par une participation active a ce 
meme processus ? La position defendue est que les deux roles sont concilia- 
bles pour la fonction d’audit, a la condition de rattacher ceUe-ci a un comite 
d’audit. Se pose alors la question de la nature du rattachement de la fonction 
d’audit interne au comite, rattachement seulement fonctionnel ou 
hierarchique ? 
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Laudit interne comme mecanisme 
de corporate governance 

L’ apprehension de la fonction d’audit interne comme mecanisme de corporate 
governance necessite de definir ce concept. Les divergences existantes concer- 
nant la traduction fran^ aise de cette expression iUustrent les difFicultes pour 
delimiter et definir le concepth 11 a done semble opportun de revenir aux 
sources du theme an travers des travaux de Berle et Means (1932). Ce travail, 
pour circonscrire le concept de corporate governance, permet, en paraUMe des 
definitions de I’audit interne, de percevoir cette fonction comme un meca- 
nisme de corporate governance en demontrant qu’eUe se donne pour double 
mission de mettre sous controle rorganisation et d’aider au management. 


Definition et mecanismes de corporate governance 

Pour tenter de definir ce concept et relativement a la distinction reahsee par 
Charreaux (2004) des theories micro et macro de la gouvernance, le posi- 
tionnement micro sera privilegie. Les theories micro presentent I’avantage 
de se focaliser sur I’entreprise et le dirigeant en faisant abstraction des specifi- 
cites institutionneUes nationales propres a une approche macro^. Les theories 
micro peuvent etre scindees en deux grands courants : le courant discipH- 
naire et le courant cognitif. Chacun d’eux renvoie a une definition specifi- 
que du concept de corporate governance, permettant de rendre compte des 
nouvelles dimensions de I’audit interne (Renard, 2005). 


Le courant disciplinaire de la gouvernance 

L’origine du concept de corporate governance remonte aux travaux de Berle et 
Means (1932). Ces auteurs out mis en evidence I’existence d’une entreprise 
manageriale se caracterisant par une dissociation des functions de direction et 
de propriete. Le fmancement de la phase de croissance des entreprises indus- 

1. II existe un debat sur la traduction de I’expression corporate governance. Certains preco- 
nisent I’utilisation des termes « gouvernance de I’entreprise », alors que d’autres prefe- 
rent le vocable de « gouvernement d’entreprise », au motif qu’il ne s’agit pas 
uniquement d’un probleme de partage des pouvoirs et des responsabilites autour de la 
finance. Nous adopterons dans la suite du texte indifferemment les expressions corporate 
governance, « gouvernance d’entreprise » et « gouvernement de I’entreprise ». 

2. Les theories macro se donnent pour objectif de justifier de la coexistence de plusieurs 
systemes nationaux de gouvernance (SNG) et d’en etudier le possible processus de 
convergence vers un modele superieur. 
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trielles se realisant par appel public a I’epargne, le capital s’est retrouve dilue 
entre difFerentes mains peu concernees pour exercer des fonctions de direc- 
tion au sein de la structure. Les nombreux proprietaires ont done ete dans 
I’obligation de mandater des personnes pour gerer I’entreprise. En prenant 
appui sur cette representation de la firme, un premier champ apparait sous la 
denomination de vision actionnariale de la gouvernance de I’entreprise. Les 
critiques ont contribue a faire emerger une seconde approche repondant a 
une vision partenariale de I’entreprise. 

La vision actionnariale de la gouvernance 

L’entreprise est geree par des dirigeants mandates par les proprietaires (les 
actionnaires ou shareholders) dans le but de maximiser la rente que ces der- 
niers pourraient en retirer. Les dirigeants peuvent etre conduits a adopter un 
comportement deviant de I’objectif de maximisation de la valeur de I’entre- 
prise au profit des actionnaires. Cette hypothese depend de I’opportunisme 
du dirigeant par rapport au contexte general. Le fait de se retrouver conjoin- 
tement au coeur du processus de decision, de developper des actions difficile- 
ment observables par les actionnaires et d’evoluer dans une situation de 
contrat incomplet pent conduire les dirigeants a prendre des decisions pena- 
lisant la performance globale de I’entreprise. Les decisions prises par les diri- 
geants auraient plus pour objectif de s’enraciner au sein de I’organisation que 
de maximiser la rente au profit des proprietaires. Shleifer etVishny (1989) 
assimilent cette strategie d’enracinement au choix d’investissements specifi- 
ques (investissements pas forcement rentables mais en relation directe avec le 
type de formation ou les experiences des dirigeants) pour devenir indispen- 
sable au sein de la structure et gerer progressivement I’entreprise de maniere 
independante. L’objectif d’accroissement de leur latitude manageriale peut 
egalement servir « une strategie de carrierisme externe, e’est-d-dire un accroissement 
de sa valeur sur le marche du travail » (Finet, 2005) . Meme s’il est possible a cer- 
tains egards de considerer la strategie d’enracinement de maniere positive, eu 
egard au cycle de vie du dirigeant au sein de I’entreprise^ (Paquerot, 1996), 
des mecanismes doivent etre mis en place pour reguler ces comportements 
opportunistes. 


1. Le cycle de vie des dirigeants comprend trois phases : une phase de valorisation, une 
phase de reduction des moyens de controle et une phase d’augmentation de la 
consommation. Lors de la premiere phase les decisions prises seront necessairement en 
phase avec les attentes des actionnaires. 
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La gouvernance de I’entreprise consiste en la mise en place de dispositifs 
organisationnels par lesquels les actionnaires sont susceptibles d’exercer un 
controle sur le processus de decisions/actions des dirigeants. La latitude 
manageriale des dirigeants ainsi contrainte permet des decisions/actions ne 
visant d’autres buts que la seule maximisation du retour sur investissement 
des actionnaires. Les processus de gouvernance equivalent alors aux systemes 
de regulation du comportement des dirigeants de I’entreprise et de defini- 
tion des regies du jeu managerial (Charreaux, 2004). L’approche actionna- 
riale pent etre etendue a d’autres sources de confiits, comme celui 
d’actionnaires — creanciers ou encore plus recemment le conflit actionnaires 
majoritaires/actionnaires minoritaires. Le point commun entre tons ces 
confiits est le role de securisation de I’investissement financier joue par les 
dispositifs de gouvernance (Shleifer etVishny, 1997). 

Ce modele actionnarial de la gouvernance est a I’origine du developpement 
de nombreux rapports definissant un corpus de regies de bonne gouver- 
nance. D’abord initie dans le contexte anglo-saxon sous la forme de codes de 
bonnes pratiques et de bilan d’etapes (rapport Cadbury au Royaume-Uni en 
1992, rapport Greenbury en 1995, rapports Hampel et Higgs en 1998), ce 
mouvement atteint la France des 1995. A I’initiative de plusieurs organismes 
publics (Commission des Operations de Bourse) et prives (MEDEF, AFEP), 
plusieurs rapports sont publics. Principalement a destination des entreprises 
cotees. Us visent a elaborer des dispositifs organisationnels susceptibles de 
garantir I’effectivite du controle des actionnaires sur les dirigeants. Des 1995 
a I’initiative du Conseil national du patronat frangais (CNPF), le rapport 
Vienot 1 est public concernant notamment les missions et le format du 
conseil d’administration. Suivront ensuite les rapports Vienot 11 (1999), 
Bouton (2002) et sa version consolidee (2003). Edictant des recommanda- 
tions, ces textes ont fagonne progressivement un ensemble de bonnes prati- 
ques pour constituer en France la reference en matiere de gouvernance de 
I’entreprise (voir encadre ci-apres). 

Des regies sont egalement venues du droit positif pour enrichir ou conforter 
les recommandations des codes de bonnes pratiques. Aux Etats-Unis, la loi 
Sarbanes-Oxley contribue, par le biais de differentes sections, a restaurer la 
confiance perdue des investisseurs suite aux scandales financiers Enron et 
WorldCom. En France, la loi NRE (NouveUes Regulations Economiques) 
positionne le droit ffan^ais par rapport a des positions divergentes dans les 
rapports. Ce texte a ete complete par la loi de Securite Financiere 
d’aout 2003, pendant de la SOX aux Etats-Unis. 
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En pratique 

Les principales dispositions des rapports fronpois et bis en motiere de 
« corporate governance » 

1 995 - Rapport Vienot I - Le conseil d'odministrotion des societes cotees 
(AFEPetCNPF) 

• Incitation pour le conseil d'odministrotion d se pencher regulierement 
sur so composition, son organisation et son mode de fonctionnement ou 
trovers d'une outo-evoluotion. 

• Reaffirmation des missions du conseil d'odministrotion. 

• Propositions sur le principe de croisement des odministroteurs, le 
nombre de mandats d'odministroteur et les droits et devoirs des odminis- 
troteurs, la creation de comites, I'entree d'odministroteurs independents. 

• 1996 - Rapport Marini - Chopitre III. Promouvoir un meilleur equilibre 
des pouvoirs et des responsobilites ou sein de I'entreprise d'un rapport 
visont d la modernisation du droit des societes fronpois 

• Constat d'un double desequilibre imputable d notre droit des societes : 
supremotie des fonctions de direction sur celles de controle et supremo- 
tie des controles de type judicioire sur ceux de type interne exerces par 
les octionnoires et/ou les commissoires oux comptes. 

• Proposition sur la possibilite de dissocier dons les stotuts les fonctions de 
president du Conseil d'Administrotion de celles de directeur general. 

• Proposition pour limiter le nombre de mandats d'odministroteurs pour un 
travail plus effectif du fait d'une plus grande disponibilite oinsi que de 
legiferer pour donner plus d'efficocite et de poids oux comites. 

1 999 - Rapport Vienot II - Rapport sur le gouvernement d'entreprise (AFEP 
et MEDEF) 

Rolliement d une possible dissociation des fonctions de president et de 
directeur general. 

• Proposition d'une information stondordisee et clorifiee sur les pratiques 
de gouvernement d'entreprise ovec notomment une information sur les 
remunerations globoles des dirigeonts ou trovers d'un chopitre structure 
definissont les politiques de fixe, de variable, de jetons de presence et 
de stock-options. 

• Adoption d'une definition simplifiee de I'odministroteur independent et 
volonte d'une presence plus forte d'odministroteurs independants ou 
sein du conseil et de ses emanations que sont les comites. 
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2001 - Loi NRE - Nouvelles Regulations Economiques : genese de la 

reforme du droit des societes 

• Assurer un meilleur equilibre des pouvoirs entre les orgones en seporont 
les fonctions de president et de directeur general ou en etendont les pou- 
voirs des octionnoires minoritoires (oboissement du pourcentoge de 
capital detenu permettont d'exercer certains droits essentials comme lo 
convocation d'une AGE). 

• Limitation du cumul de postes d'odministroteurs ou de membres d'un 
conseil de surveillance ; transparence totole sur lo remuneration des 
mondotoires socioux. 

• Fociliter I'utilisotion des nouvelles technologies de I'informotion pour ren- 
forcer lo democrotie octionnoriole. Lo soisie du comite d'entreprise en 
cos d'OPA/OPE VO dons le meme sens. 

2002 - Rapport Bouton - Le gouvernement d'entreprise (AFEP et MEDEF) 

• Mise en ovont de I'importonce du role des comites pour un meilleur 
equilibre des pouvoirs impliquont des odministroteurs independents et 
competents oyont d leur disposition I'ensemble des informations neces- 
soires d lo bonne execution de leurs trovoux. 

• Precision sur les modolites d'evoluotion du conseil d'odministrotion en 
ojoutont d I'outo-evoluotion onnuelle une evaluation externe formolisee 
tous les trois ons ou moins. 

• Reaffirmation du principe d'independonce des commissoires oux comp- 
tes. 

2003 - Loi de Securite Finonciere 

• Publication obligotoire d'un rapport par le president sur le gouverne- 
ment d'entreprise (conditions de preparation et d'orgonisotion des tro- 
voux du conseil) et le contrdle interne (procedures de controls interne 
mises en place). 

• Elorgissement des pouvoirs de controls ovec lo possibilite pour les asso- 
ciations d'investisseurs d'ogir en justice pour lo defense de tout preju- 
dice direct ou indirect d I'interet collectif des investisseurs. 


Cette vision de la gouvernance est aujourd’hui dominante dans les econo- 
mies utilisant comme circuit de financement principal le marche financier. 
Nonobstant, cette approche soufFre de limites. Selon cette conception, les 
autres parties prenantes (stakeholders) ne peuvent pretendre a une remunera- 
tion, dans la mesure ou ils ne prennent pas de risques. En effet, les contrats 
signes les protegeraient totalement. Par exemple les salaries, en acceptant une 
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remuneration frxe, independante des resultats de I’entreprise limitent forte- 
ment leurs risques et de fait devraient renoncer a leurs droits sur la rente resi- 
duelle. A contrario, I’apport financier des actionnaires est sounds au risque 
d’opportunisme des dirigeants. Les proprietaires sont done obliges d’assumer 
le controle des dirigeants pour se proteger d’une perte financiere. L’approche 
partenariale remet en cause ce postulat que seuls les actionnaires courent un 
risque, conduisant a une definition differente de la gouvernance (Caby et 
Hirigoyen, 2005) . 

La vision partenariale de la gouvernance 

L’approche partenariale de I’entreprise remet en cause le statut de crean- 
ciers residuels accorde aux actionnaires par le modHe « shareholders ». Plu- 
sieurs explications peuvent etre avancees pour justifier de la prise en 
compte des autres parties prenantes {stakeholders). Une premiere source 
d’explication peut s’appuyer sur la vision de forganisation proposee par 
d’lribarne (1993). L’evolution des theories des organisations conduit a 
apprehender I’entreprise comme un espace de multiples cooperations, 
d’apports complementaires, de valorisation des investissements en fonc- 
tion de I’investissement specifique des autres acteurs. 11 en resulte que les 
parties prenantes constituent un point d’appui par rapport a I’objectif de 
creation de valeur. En echange de leurs engagements au sein de I’entre- 
prise, les parties prenantes peuvent pretendre a des droits. Elies sont done 
des proprietaires au meme titre que les actionnaires (Charreaux, 2004). 
Une seconde explication a la prise en compte des autres parties prenantes 
reside dans I’existence d’un report du risque economique et financier de 
I’actionnaire sur le salarie. La fmanciarisation de I’economie est a I’origine 
de ce transfert de risque. Les salaries courent aujourd’hui un risque d’inse- 
curite qui est parfaitement illustre par les cas suivants : « Les investisseurs 
institutionnels ont importe le respect de normes financieres de rentabilite 
au sein de I’entreprise et contribue ainsi aux fortes ruptures dans des iden- 
tites collectives longtemps fondees sur la permanence et la stabilite. Les 
appreciations des titres de societes cotees lors de I’annonce de restructura- 
tions, ou encore la pratique de licenciements qualifies parfois de “bour- 
siers” sont a ce titre significatives. S’il n’existe pas de contrepartie a ce 
risque sous forme d’attenuation ou de remuneration, I’incitation pour le 

1. Extrait d’un document de la Direction des Etudes de I’ENA concernant un seminaire 
relatif au dialogue social et portant sur le theme « Dialogue social et gouvernance 
d’entreprise »,juillet 2004, 81 pages, pp.6-7. 
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salarie a developper du capital specifique peut etre remise en cause et com- 
promettre la creation de valeur. Pour Caby et Hirigoyen (2005), « dans la 
mesure ou il n’est pas envisageable de supprimer le risque en garantissant aux 
employes la perennite de la relation d’emploi, seule la remuneration du 
risque semble concevable, et en consequence, les salaries sont des creanciers 
residuels comme les actionnaires ». 

La prise en consideration de I’ensemble des parties prenantes comme proprie- 
taires de I’entreprise change le role du processus de corporate governance. 
D’apres Charreaux (2004), « le probleme majeur en termes de gouvernance 
n’est [plus] pas la tricherie manageriale, mais I’appropriabilite des actifs 
critiques ». La volonte des dirigeants doit etre de creer un climat de confiance 
et de cooperation, condition necessaire a la creation de valeur. 11 s’agit pour 
les dirigeants de s’assurer qu’aucun stakeholder ne s’accapare durablement une 
part de richesses trop importante au detriment des autres. La gouvernance de 
I’entreprise consiste alors a rendre possible la cooperation des parties prenantes 
composant I’entreprise. Le systeme de gouvernance constitue done un 
ensemble de mecanismes permettant une allocation optimale de la rente orga- 
nisationneUe entre les difFerentes parties prenantes de I’entreprise. L’objectif 
est « de minimiser les pertes engendrees, precisement par les conflits lies aux modalites 
de partage de la rente organisationnelle » (Caby et Hirigoyen, 2005). Charreaux 
(1997) considere que dans cette vision partenariale le role du systeme de gou- 
vernance est de « faire pression sur les dirigeants de fa^ on a ce que leurs activi- 
tes de creation et de redistribution de rentes satisfassent I’ensemble des 
stakeholders et assument la viabhite globale et independante de la coalition, 
evitant ainsi les situations de crise qui se traduisent soit par un eclatement de la 
coahtion, soit par une spoliation d’un groupe de stakeholders prisonniers de 
leurs transactions ». 

Les rapports edictant des codes de bonnes pratiques en matiere de gouver- 
nance sont peu nombreux a prendre appui sur cette vision partenariale. Le 
rapport Vienot 1 se fait I’ambition de privilegier ce positionnement 
lorsqu’il annonce la primaute accordee a I’interet social sur I’interet des 
actionnaires ; mais sans que cela ressurgisse clairement au niveau des 
recommandations. En revanche, des mecanismes comme la creation au 
sein des entreprises de direction de la deontologie et de I’ethique tradui- 
sent une timide reconnaissance pratique de cette conception plurale de 
I’organisation (Caby et Hirigoyen, 2005). De la meme fa^on, le develop- 
pement de I’actionnariat salarie peut etre considere comme en adequation 
avec cette vision du corporate governance. Blair (1997) a mis en evidence que 
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« la remuneration des employes par des actions des entreprises peut four- 
nir un mecanisme destine a encourager et a proteger les investissements en 
capital humain specifique ». 

Que la vision soit actionnariale ou partenariale, les deux reposent sur une 
representation contractueUe de I’organisation. L’entreprise est un noeud de 
contrats necessitant de mettre en place des dispositifs pour prevenir ou agir sur 
des conflits entre parties prenantes a I’entreprise. Le courant cognitif propose 
un autre cadre conceptuel pour apprehender la gouvernance. 

Le courant cognitif de la gouvernance : 
vers une synthese des deux courants 

Le recours aux theories de la cognition permet d’elargir le concept de gouver- 
nance en abandonnant la representation de I’organisation comme un noeud de 
contrats. En eliet, cette derniere conception presente I’inconvenient de consi- 
derer la creation de valeur comme donnee. Charreaux (2004) s’exprime en ces 
termes : « la valeur est maximisee a un instant donne, I’ensemble des opportu- 
nites d’investissement etant suppose connu au moins des dirigeants et le choix 
des investissements se faisant selon I’analogie du menu. » La reaUte des organi- 
sations met en exergue que la creation de valeur resulte d’un processus et non 
pas d’une procedure d’allocation de I’information (Depret et Hamdouch, 
2005). L’apprehension de I’organisation comme un Heu de production de 
connaissances presente I’avantage de s’interesser au processus de creation de 
valeur, dans la mesure ou eUe est le Ueu le plus adapte pour favoriser le proces- 
sus de creation de connaissances et d’apprentissage collectif (Dosi, 1988). En 
efFet, ce processus resulte de la capacite de I’entreprise a creer de la 
connaissance, c’est-a-dire de son aptitude a construire les opportunites de 
croissance (identifier et mettre en oeuvre des investissements rentables), dans 
I’objectif d’une creation de valeur durable. Favoriser le processus de creation de 
connaissances passe par I’existence de conflits d’ordre cognitifsb 

L’approche cognitive de I’entreprise ne renvoie pas a la meme approche de la 
gouvernance de I’entreprise que ceUe decrite par le courant disciplinaire. 
Alors que dans ce dernier, le systeme de gouvernance se donne pour objectif 
de minimiser les conflits d’interets, le systeme de gouvernance lie a la con- 
ception cognitive se doit de creer un environnement propice aux developpe- 

1 . Foss a demontre que I’innovation etait favorisee par la coexistence de schemas cognitifs 
conflictuels. Foss, N., (1996), « Capabilities and the Theory of the Firm », Revue 
d’Economie Industrielle, n°77, troisieme trimestre, pp. 7-28. 
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ments des confiits cognitifs qui feront emerger par emulation les 
investissements rentables (Charreaux, 2004). Dans cette perspective, le role 
de la gouvernance est de « s’assurer que les procedures de prise de decision au 
sein de Torganisation seront reeUement efficientes ». Pour cela, les mecanis- 
mes de gouvernance de I’entreprise doivent etre con^us dans I’optique 
d’assister le management dans la phase d’elaboration des orientations strate- 
giques. Ceci sous-tend de creer un climat organisationnel propice aux 
apprentissages (confiits cognitifs) dans le but de faire emerger des voies de 
croissance. Cette dimension de la gouvernance est qualifiee par Charreaux 
de dimension habilitante. Pour etre totalement efFicace, elle doit s’accompa- 
gner d’une dimension contraignante. Afin que les confiits cognitifs ne 
declenchent une situation de blocage, des mecanismes doivent exister pour 
servir des contraintes aux choix strategiques des managers notamment en 
afFichant des dispositifs de sanction en cas d’echec ou de non-ralHement aux 
modeles cognitifs dominants. 

Ces deux dimensions rapprochent fmalement les deux courants de la gou- 
vernance d’entreprise tout en inscrivant le systeme de gouvernance en 
priorite dans la perspective d’asseoir la capacite d’innovation et d’appren- 
tissage de Porganisation. Ce dernier se doit alors d’optimiser le potentiel 
de creation de valeur par I’innovation et I’apprentissage, tout en develop- 
pant conjointement des mecanismes d’ optimisation de la latitude manage- 
riale. Charreaux (2004) presente le modele de Lazonick et O’Sullivan 
(2000) de la firme innovatrice comme une parfaite illustration de ce rap- 
prochement des courants. Selon ce modele, « le systeme de gouvernance 
doit permettre : 

* I’engagement financier, de fagon a permettre non seulement le develop- 
pement des competences, mais egalement d’obtenir le delai suffisant pour 
que les investissements porteurs d’innovation soient rentables ; 

* I’integration organisationneUe incitant les acteurs internes a investir leurs 
competences et leurs efforts en fonction des objectifs de la firme ; 

* la maitrise du processus de developpement qui repose sur leur experience 
et leur interpretation » (Charreaux, 2004). 


L'audit interne comme dispositifde mise sous contrdle 
de I' organisation et d'aide au management 

La definition de l’audit interne et I’apprehension de son perimetre d’action 
permettent de percevoir cette fonction comme un mecanisme de gouver- 
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nance de I’entreprise. Elle pent efFectivement agir a la fois, pour reprendre les 
termes de Charreaux (2002), sur la dimension « habditante »,mais aussi sur la 
dimension « contraignante » de la gouvernance de I’entreprise. 


Identification de quelques mecanismes de gouvernance 
de I'entreprise 

Les mecanismes de gouvernance de I’entreprise sont nombreux et il semble 
difficile d’en dresser a priori une liste exhaustive. Cette difficulte s’explique 
par le comportement actif des dirigeants qui les conduit a trouver des com- 
portements de contournement a ces mecanismes. 11 en resulte de fait une 
adaptation ou un necessaire renouvellement de ces mecanismes. Les typolo- 
gies des mecanismes permettant de recenser ces dispositifs sont nombreuses. 
L’ evocation de la typologie de Charreaux et de celle de Caby et Hirigoyen 
permettent de presenter un large panorama des mecanismes. 

Charreaux (1987) propose de distinguer les mecanismes externes des disposi- 
tifs internes. Les premiers relevent de la discipline de marche, c’est-a-dire 
que ce dernier fait directement pression sur le comportement des dirigeants. 
Par exemple, « le marche financier [a la condition qu’il soit liquide] inter- 
vient comme un mecanisme de controle dans la mesure ou les actionnaires 
mecontents peuvent se defaire de leurs titres en entrainant ainsi une baisse » 
(Caby et Hirigoyen, 2005). Le marche du travail et le marche des biens et 
services sont d’autres exemples de mecanismes externes susceptibles de deb- 
miter les pouvoirs et d’influencer les decisions des dirigeants. Les systemes 
internes sont construits au sein meme de I’entreprise. Parmi ceux-ci, le con- 
seil d’ administration, au travers de son role et de sa constitution, constitue un 
piber repris dans les nombreux rapports sur les bonnes pratiques de gouver- 
nance. En tant qu’evaluateur et organe de ratification des decisions d’inves- 
tissement a long terme et de controle de la performance des principaux 
dirigeants (Lama et Jensen, 1983), la composition et la structuration du con- 
seil d’administration revet une importance primordiale. A cote de ce meca- 
nisme, la structuration du capital et la politique d’endettement represented 
des moyens de controle coercitifs pour mettre en adequation le comporte- 
ment des dirigeants avec les interets des actionnaires. 

Caby et Hirigoyen (2005) preferent distinguer mecanismes d’incitations 
financieres et mecanismes de controle : « Nous avons souhaite retenir une 
autre distinction, dans la mesure ou il semble que les mecanismes de controle 
se caracterisent plus par une notion d’incitation negative, autrement dit, une 
sanction potentieUe, et les incitations financieres par une notion d’incitation 
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positive, une remuneration supplementaire potentielle. » Cette typologie con- 
duit a ranger au titre des mecanismes de controle I’ensemble des mecanismes 
evoques precedemment dans la typologie et prenant appui sur la typologie de 
Charreaux. Les mecanismes d’incitations financieres consistent a indexer la 
remuneration des dirigeants sur la performance de I’entreprise en retenant 
comme critere d’ evaluation de la performance un critere actionnarial. L’indexa- 
tion pent, par exemple, prendre la forme d’un plan de stock-options qui va inci- 
ter les dirigeants a maximiser la valeur de marche des capitaux propres afin de 
beneficier lors de I’exercice de I’option, du gain le plus eleve possible. 

Le tableau ci-apres dresse et commente quelques mecanismes de gouver- 
nance de I’entreprise afin de mettre en evidence en quoi ds apportent des 
solutions pour limiter les conflits d’interets au sein de 1’ organisation, ou plus 
rarement une aide au management. 

Tableau n° 1 - Quelques mecanismes de gouvernance de I’entreprise 


Mecanismes 

Description 

La mise en place de pro- 
cedure favorisant la 
« democratie et 
I’actlvlsme actionnarial » 
(controle interne et 
mecanisme de controle) 

Un actionnaire jugeant non satisfaisantes les performances 
obtenues par I’equipe dirigeante doit pouvoir se faire enten- 
dre. Pour qu’il reunisse autour de lui suffisamment de voix, 
des procedures doivent favorisent I’exercice de ce droit et du 
devoir de vote des actionnaires aux assemblees. Le vote par 
procuration et le vote par Internet sent autant de dispositifs 
favorisant I’activisme actionnarial. 

La politique d’endette- 
ment (controle interne et 
mecanisme de controle) 

Lendettement joue un role disciplinaire. Le recours a la dette 
constitue un moyen de contraindre les dirigeants a gerer 
dans I’interet des actionnaires. Pour eviter les couts de 
faillite, les dirigeants sent dans I’obllgation de generer, tou- 
tes choses egales par ailleurs, un resultat plus Important. 

Le marche du travail 
(controle externe 
et mecanisme de 
controle) 

Le marche du travail exerce une pression sur les dirigeants. 
En cas de non-performance, ces dernlers pourront faire 
I’objet d’un remplacement. A contraho, dans le cas d’une 
performance et en I’absence d’Indexatlon de la remuneration 
sur les resultats, les dirigeants peuvent etre conduits a par- 
tir, face aux opportunites proposees par le marche du travail. 


L'audit interne : un mecanisme de gouvernance de I'entreprise 

L’ audit interne pent s’inscrire comme dispositif de gouvernance autant dans 
une approche disciplinaire que cognitive de la gouvernance de I’entreprise. 

Pour I’apprehender sous ces deux facettes, il convient au prealable d’en deH- ^ 
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miter le champ d’investigation. La definition de I’autorite professionnelle 
que represente I’lfAcI pent servir de reference. Get organisme a retenu la tra- 
duction suivante de la definition de I’llA : « I’audit interne est une activite 
independante et objective qui donne a une organisation une assurance sur le 
degre de maitrise de ses operations, lui apporte ses conseils pour les ameliorer 
et contribue a creer de la valeur ajoutee. » Cette definition traduit le fait que 
la fonction doit contribuer a la creation de performance (creer de la valeur 
ajoutee). Mais eUe ne revele pas explicitement les apports disciplinaire et 
cognitif de la fonction d’audit. De surcroit, eUe ne met pas en exergue le fait 
que cette fonction est en pleine construction et que son perimetre n’est done 
pas totalement unifie (Renard, 2005) . 

En effet, les objectifs assignes a la fonction ne sont pas pergus de fa^on 
homogene par I’ensemble des professionnels en activite et ce meme s’il existe 
un certain nombre d’actions visant a promouvoir une pratique dominante 
(e’est-a-dire le niveau d’implantation le plus avance). Comme toute fonction 
recente, I’audit interne donne Heu a des pratiques evolutives qu’il est possible 
de percevoir au travers d’un elargissement du champ d’intervention de 
I’audit interne (Piot, 2005). 11 existe depuis le debut des annees 1980 une 
« complexification » de la nature des audits et des objectifs des controles 
menes par les auditeurs internes (Renard, 2005). Quatre categories d’audit 
traduisent le stade le plus avance de la fonction : 

• I’audit de regularite ou de confornnte : au travers de cette nbssion, I’audi- 
teur met en oeuvre une demarche simple consistant a verifier que la realite 
des faits soit conforme a un referentiel interne ou issu du droit positif (dis- 
positions legales et reglementaires) ; 

• I’audit d’efficacite ou de performance consiste a approfondir la demarche 
precedente en obligeant I’auditeur interne a se positionner par rapport a 
la qualite des regies en vigueur au terme d’une phase de diagnostic ; 

• I’audit de management est un jugement de forme et non de fond porte 
par I’auditeur interne sur les decisions prises par les hauts dirigeants ; 

• I’audit de strategie a pour objectif de confronter I’ensemble des politiques 
et des strategies de I’entreprise avec I’environnement dans lequel elles se 
situent pour en verifier la coherence. L’auditeur s’assure alors que la 
norme de performance assignee est connue et reabsable. 

Les deux premieres missions de I’audit interne sont traditionneUes et recon- 
nues par les professionnels de la fonction. EUes renvoient clairement a une 
dimension disciplinaire de I’audit interne et mettent done I’organisation sous 
controle. L’exemple iUustrant le mieux cette dimension est la participation 
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de I’audit interne au niveau du processus de reddition des comptes. En effet, 
des lors qu’une fonction d’ audit interne existe, cela signifie qu’une action a 
ete menee visant a veiller a la fiabilite et a I’efFicacite du dispositif de controle 
interne. L’ audit interne est done conduit a se positionner par rapport a la 
qualite de I’information produite par I’entreprise et qui reflete I’image de 
celle-ci. EUe contribue done par ce biais a lutter contre les problemes d’asy- 
metrie d’information entre les dirigeants et les actionnaires, d’autant qu’il 
existe un dernier niveau de controle avec I’intervention d’un auditeur 
externe dans le cadre de la mission de commissariat aux comptes. Au travers 
de ces dispositifs et de leur imbrication (Pige\ 2001), il apparait qu’en se 
positionnant en tant que superviseur de la production d’informations, I’audit 
interne constitue un mecanisme de mise sous controle de 1’ organisation et a 
ce titre pent etre considere comme un systeme de corporate governance dans 
une approche disciplinaire. 

Les deux autres missions, pas forcement reconnues par I’ensemble de la pro- 
fession, renvoient a une dimension plus « habUitante » (Charreaux, 2004) de 
I’audit interne dans le systeme de gouvernance de I’entreprise. Le fait de 
demander a la fonction d’audit interne de mener ce genre de mission consti- 
tue pour les dirigeants un moyen de dedouanement vis-a-vis des craintes des 
actionnaires. A la condition que ces missions soient deployees dans un 
contexte d’independance et d’objectivite, eUes constitueront pour les diri- 
geants un moyen d’aide dans la conduite des affaires et de mise en evidence 
d’une volonte de transparence sur le marche des affaires de I’entreprise vis-a- 
vis des tiers. L’ audit interne doit alors etre per^u comme un instrument de 
management pour les dirigeants. La remontee d’informations et le role de 
proposition joue par I’audit interne (Renard, 2005) permettent a la direction 
d’apprendre (apprentissage) dans le but de faire emerger les orientations stra- 
tegiques qui porteront les investissements les plus rentables. 


Les conditions de compotibilite des missions de l^oudit 
interne avec la corporate governance 

La seconde partie de la definition de I’llA concernant la fonction d’audit 
interne mentionne explicitement qu’au-dela de sa participation au processus 

1. Pige distingue, d’un point de vue partenarial, trois niveaux d’asymetrie d’information 
au sein du gouvernernent d’entreprise : I’asynietrie d’information entre dirigeants et 
conseil d’administration, celle entre les actionnaires et leurs representants les adminis- 
trateurs et celle entre les investisseurs potentiels et les dirigeants de I’entreprise. 
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de gouvernance de I’entreprise, elle se doit egalement d’evaluer le processus 
de gouvernance d’entreprise : « il [I’audit interne] aide cette organisation a 
atteindre ses objectifs en evaluant, par une approche systematique et metho- 
dique, ses processus de management des risques, de controle, et de gouver- 
nement d’entreprise, et en faisant des propositions pour renforcer leur 
efFicacite. » Cette evolution des missions de I’audit interne, confirmee par 
I’existence d’une norme specifique au sein des normes internationales pour 
la pratique professionneUe de I’audit interne, tend a placer la function face a 
un risque fort d’audit. L’ audit interne peut-il etre a la fois partie prenante au 
processus de gouvernance et juge de ce dernier ? Le fait que la function 
d’audit interne ne constitue qu’un petit maiUon du processus de gouver- 
nance tend a repondre par I’afErmative, mais pour eviter toute ambiguite 
n’est-il pas preferable de concevoir un dispositif permettant d’attenuer ce 
risque de subjectivite au travers par exemple d’un elargissement ou d’une 
relecture des missions d’un comite d’audit comme le propose la loi Sarbanes- 
Oxley dans le contexte nord-americain ? 


Confenu de la mission d'evaiuation et de controle du processus 
de gouvernement d'entreprise 

Si la mission d’evaiuation du processus de gouvernement d’entreprise est 
presente des 1999 dans la definition de I’audit interne proposee par I’llA, eUe 
connait une precision avec la proposition en 2004, toujours par le meme 
organisme, de normes internationales pour la pratique professionneUe de 
I’audit interne. 

La norme 2 1 30 

Au sein des normes de fonctionnement, une norme explicite la mission 
d’evaiuation par I’audit interne du processus de gouvernance de I’entreprise. 
11 s’agit de la norme 2 130, precisant les attentes concernant cette mission. 
« L’ audit interne doit evaluer le processus de gouvernement d’entreprise et 
formuler les recommandations appropriees en vue de son ameUoration. A 
cet effet, il determine si le processus repond aux objectifs suivants : 

• promouvoir des regies d’ethique et des valeurs appropriees au sein de 
I’organisation ; 

• garantir une gestion efficace des performances de I’organisation, assortie 
d’une obligation de rendre compte ; 
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• bien communiquer aux services concernes au sein de Torganisation des 
informations relatives aux risques et aux controles ; 

• fournir une information adequate au consed, aux auditeurs internes et 
externes et au management, et assurer une coordination eliicace de leurs 
activites. 

— 2 130. A1 — I’audit interne doit evaluer la conception, la mise en oeuvre 
et I’efFicacite des objectifs, des programmes et des activites de I’organi- 
sation lies a I’ethique ; 

— 2 130. Cl — les objectifs de la mission de conseil doivent etre en cohe- 
rence avec les valeurs et objectifs generaux de I’entreprise. 


Probleme de compatibilite 

Cette norme 2 130 souleve un veritable probleme de compatibilite avec la 
participation directe de I’audit interne au processus de corporate governance. Ce 
concours actif au processus de management permet-d a la function d’appor- 
ter une evaluation totalement objective du processus de gouvernement 
d’entreprise ? Etre a la fois juge et partie ne fait-il pas peser un risque d’alte- 
ration de revaluation ? De surcroit, cette participation semble en totale con- 
tradiction avec la norme de qualification, selon laquelle « les auditeurs 
internes doivent etre independants des activites qu’ds auditent c’est-a-dire 
que les domaines dans lesquels intervient I’auditeur interne ne sauraient etre 
audites par I’interesse ». Pour expliciter ce risque d’audit^, il est possible de 
rapprocher certains objectifs du processus de gouvernance d’entreprise que 
doit verifier I’audit interne des principales normes pour la pratique profes- 
sionneUe de I’audit interne. 

Ainsi, la norme 2 130 precise que I’audit interne doit prendre position sur la 
capacite du processus de gouvernement d’entreprise a garantir une gestion 
efficace des performances de I’organisation, assortie d’une obligation de 
rendre compte. Suite a cette evaluation, le fait d’emettre des recommanda- 
tions sur cet element et compte tenu de sa participation au processus de gou- 
vernement d’entreprise conduit I’audit interne a reconnaitre implicitement 
que la gestion de I’activite d’ audit interne n’est pas totalement exercee dans 

1. Extrait de la traduction par I’lfAcI des normes internationales pour la pratique profes- 
sionnelle de I’audit interne 2004, disponible sur le site Internet de I’lfAcI 
(www.ifaci.com) . 

2. Le risque d’audit est residuel apres le passage de I’auditeur interne, dans la mesure ou la 
demande d’audit porte en soi sa relativite. 
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le but de garantir qu’elle apporte une valeur ajoutee a rorganisation (norme 
de fonctionnement 2000 — Gestion de I’audit interne). 

En outre, cette norme precise que I’audit interne doit emettre un juge- 
ment sur I’aptitude du processus de gouvernement d’entreprise a bien 
communique!' aux services concernes au sein de Torganisation les infor- 
mations relatives aux risques et aux controles. Considerer que cet objectif 
n’est pas atteint au travers de recommandations conduit I’audit interne a 
reconnaitre qu’il n’a pas repondu aux normes 2 110 Management des ris- 
ques — I’audit interne doit aider I’organisation en identifiant et en evaluant 
les risques significatifs et contribuer a I’amelioration des systemes de 
management des risques et de controle et 2 120 Controle — I’audit interne 
doit aider I’organisation a maintenir un dispositif de controle approprie en 
evaluant son efficacite et son efficience et en encourageant son ameliora- 
tion continue. 

Enfm, ce texte mentionne que I’audit interne doit evaluer si le processus 
de gouvernement d’entreprise fournit une information adequate au con- 
seil, aux auditeurs internes et externes et au management, et assurer une 
coordination efficace de leurs activites. La norme de fonctionnement 
2 060 — Rapport au conseil et a la direction generale precise « le responsa- 
ble de I’audit interne doit rendre compte periodiquement a la direction 
generale et au conseil des missions, des pouvoirs et des responsabilites de 
I’audit interne, ainsi que des resultats obtenus par rapport au programme 
prevu ». Par consequent, considerer cet objectif comme non atteint con- 
duit I’audit interne a reconnaitre que son activite de remontee d’informa- 
tions vis-a-vis du conseil et de la direction generale n’est pas parfaitement 
executee. 

Dans une vision etroite de la gouvernance d’entreprise, ce risque de manque 
d’objectivite est amplifie par le probleme d’independance de la function. La 
function d’audit interne est ffequemment rattachee hierarchiquement a la 
direction generale. En effet, les auditeurs internes sont employes par la direc- 
tion. Compte tenu de ce rattachement, il pent paraitre paradoxal de faire 
evaluer le processus de gouvernance de I’entreprise par I’audit interne. 11 est 
legitime de considerer, eu egard a ce rattachement, que le rapport pourrait 
etre redige dans le but de conforter la direction generale au detriment des 
actionnaires. 11 en resulte que faction de controle menee pour prevenir un 
confiit d’interet actionnaires/dirigeants pent tres rapidement etre consideree 
comme sans effet. 
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Au-dela de la connaissance de la compromission de Tobjectivite de I’audit 
interne, conformement a la norme 1 130\ il semble possible d’amenager un 
dispositif organisationnel susceptible d’attenuer le risque de subjectivite en 
liniitant notamment la dependance hierarchique de la fonction par rapport a 
la direction. 11 s’agit de faire verifier le travail d’evaluation du processus de 
gouvernement d’entreprise par le comite d’ audit. 


Le recours au comite d'audit pour rendre les deux missions 
compatibles 

L’ evolution previsible du droit europeen et I’exemple nord-americain con- 
tribuent a nous faire percevoir le comite d’audit comme la solution organisa- 
tionneUe la plus adaptee pour exercer un role de supervision de la qualite du 
travail d’evaluation par I’audit interne du processus de gouvernement 
d’entreprise. 

L'apport de SOX et le contenu de I'article 39-2 de la huitieme 
directive de I'UE 

En matiere de comite d’audit, le contexte nord-americain pent et semble 
servir de ligne directrice eu egard a I’article 39-2 de la huitieme directive de 
rUnion europeenne (2006), qui devrait rendre obligatoire les comites 
d’audit au sein des societes cotees. A contre-exemple de la France, qui a sou- 
haite garder une approche tres liberale en matiere de comite d’audit^, les 
Etats-Unis ont choisi de legiferer au travers de plusieurs sections de la loi Sar- 
banes-Oxley en 2002 (voir I’encadre ci-apres). Ce texte definit le comite 
d’audit et le rend obligatoire pour toute societe par actions. 

En vertu de la huitieme directive de I’UE, les comites d’audit, dont les func- 
tions sont precisement defmies, seront rendus obligatoires en France d’ici 
quelques annees dans les societes cotees. L’ article 39-2 de cette directive pre- 
cise les missions relevant du comite d’audit : 

* suivi du processus d’elaboration de I’information financiere ; 


1. Elle precise que « si I’objectivite ou I’independance des auditeurs internes sont com- 
promises dans les faits ou meme en apparence, les parties concernees doivent en etre 
informees de maniere precise. La forme de cette communication dependra de la 
nature de I’atteinte a I’independance. » 

2. Ni la loi NRE du 15 mai 2001, ni la loi de Securite FinanciAe du 1“ aout 2003 ne 
comportent d’articles exigeant la mise en place de comites d’audit. 
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En pratique 

Les principales dispositions de lo loi SOX en motiere de comite d'oudit 

Section 202 

• Le comite d'oudit, ou les membres designes du comite pre opprouve(nt) 
tout service fourni par I'ouditeur independant. 

Section 204 

• Le comite d'oudit tient des discussions regulieres ovec I'ouditeur inde- 
pendent concernont ; 

- toute politique ou pratique comptoble importonte ; 

- tout troitement olternotif de I'informotion finonciere dons le cadre des 

PCGR’ oyont ete discutes ovec lo direction (incidences d'un tel troitement, 

position de I'ouditeur independont) ; 

- toute outre communication ecrite entre I'ouditeur et lo direction, dont les 

lettres d'offirmotion de cette derniere et le sommoire des ecorts non ojustes. 

Section 301 

• Le comite d'oudit est compose integrolement d'odministroteurs qui res- 
pectent les exigences d'independonce, y compris sur les questions de 
remunerations, de lo loi et des reglements correspondonts propres oux 
outorites boursieres. 

• le comite d'oudit a le pouvoir d'engoger des conseillers independants 
dons lo mesure ou il le juge necessoire. 

• le comite d'oudit a le pouvoir de reunir les fonds necessoires d une 
remuneration oppropriee des ouditeurs independents et de tout 
conseiller engage par ses soins. 

• le comite d'oudit est directement responsoble des points suivonts relotifs d 
I'ouditeur independent : selection, remuneration, supervision de lo mis- 
sion, non-renouvellement (le cos echeont), arbitrage de tout conflit ovec lo 
direction, supervision de tout probleme ou de toute difficulte lies d I'oudit 
oinsi que des reponses de lo direction sur ces problemes ou difficultes. 

• le comite d'oudit doit mettre en place des procedures visont d permettre 
lo soumission confidentielle et ononyme, par des employes de lo compo- 
gnie, de points qui semblent problemotiques sur le plan de lo comptobi- 
lite ou de I'oudit. 

.../... 


1. Principes coniptables generalement reconnus. 
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Section 407 

• La compagnie doit divulguer si le comite d'oudit comprend ou moins un 
« expert financier », ou sens des criteres etoblis par la Securities Exchange 
Commission. Si tel est le cos, il convient de mentionner le nom de cette per- 
sonne et de preciser si elle est, ou non, independonte de la direction. Si le 
conseil d'odministrotion etoblit que le comite d'oudit ne compte oucun 
expert financier, il convient de preciser les raisons de cette decision. 

Source : Deloitte & Touche (2003), Audit Committee Resource Guide 


• controle de I’efficacite des systemes de controle interne, de I’audit interne 
le cas echeant, et de la gestion des risques de la societe ; 

• supervision du controle legal des comptes annuels et des comptes 
consolides ; 

• examen et suivi de I’independance du controleur legal ou du cabinet 
d’audit, en particulier pour ce qui concerne la fourniture de services 
complementaires a I’entite controlee, ainsi que tout engagement dudit 
controleur ou dudit cabinet de fournir des services autres que de 
controle ; 

• selection prealable de tout controleur legal ou cabinet d’audit dont la 
designation est proposee par I’organe d’ administration ou de surveillance. 


Les raisons du choix du comite d'oudit comme orgone de controle 

Confortee par cette evolution du droit, notre volonte de doter le comite 
d’audit de cette nouveUe mission pent aussi se justifier par deux considerations. 

La premiere resulte d’une volonte de ne pas alourdir I’architecture du 
controle organisationnel par la creation d’un comite supplementaire ou 
d’un organe specifique a cette mission de controle de revaluation du pro- 
cessus de gouvernement d’entreprise. Le fait que la presence d’un comite 
d’audit va devenir obligatoire en France pour les societes cotees donne 
une garantie sur le deroulement de ce controle d’autant que les textes de 
loi y font implicitement ou explicitement reference. L’ article 39-2 de la 
huitieme directive de I’UE donne comme seconde mission au comite 
d’audit celle de controler « I’efficacite des systemes de controle interne, de 
I’audit interne ». 
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La seconde consideration va au-dela du texte de loi pour justifier du chorx 
du comite d’audit parmi I’ensemble des comites (comite d’audit, comite des 
remunerations, comite de nomination) pour exercer la supervision de la mis- 
sion d’evaluation par I’audit interne du processus de gouvernement d’entre- 
prise. 11 s’avere que le comite d’audit entretient deja une relation etroite avec 
la fonction d’audit interne. Cette function est consideree comme une res- 
source importante pour le comite d’audit^ (Piot, 2005). Dans le droit fil de 
ces missions, ce dernier etablit done un protocole de communication avec 
I’audit interne permettant d’eviter les censures manageriales. Pour Piot 
(2005), « n est [ainsi] le vecteur d’une meiUeure circulation de I’information 
en ce qui concerne le deroulement des controles et la decouverte ». 11 y 
aurait done au travers de cette communication une optimisation de I’objecti- 
vite de la phase d’inspection de la fiabilite du processus de gouvernement 
d’entreprise. Pour I’expliciter, une reference pent etre faite aux travaux de 
Braiotta, qui definit les taches a accompHr par le comite d’audit. 11 considere 
qu’il existe, conformement a I’encadre ci-apres, trois grandes fonctions pour 
un comite d’audit : un role de planification, une fonction de surveillance et 
un role de communication. 

En pratique 

Les fonctions du comite d'oudit dons le contexte omericoin 

Planification - Revue et allocation des ressources internes et externes de la 

fonction d'audit : 

• Approche integree de la fonction d'audit. 

• Consolidation des programmes d'audit internes et externes pour eviter 
les redondances et moximiser I'efficience de la verification. 

• Recommondotion de lo nomination de I'ouditeur externe (quolite des 
services, honoroires, etc.). 

Surveillance - Supervision du deroulement et du respect des plans d'audit : 

• Entretiens reguliers avec le responsoble de lo fonction d'audit interne. 

.../... 


1 . Les auditeurs internes aident le comite d’audit a s’assurer de la conforniite aux regies et 
aux politiques de I’entreprise (application du reglement interieur, etc.). Ils effectuent, 
dans certains cas, des investigations specifiques sur demande du coniite d’audit, par 
exemple sur des versenients douteux ou des fraudes potentielles. 
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• Analyse des systemes d'information, de controle interne, et des risques 
d'affaires. 

• Reglement des conflits d'interets et des questions ethiques, prevention 
des comportements discretionnaires, arbitrage des conflits auditeur-diri- 
geants. 

Communication - Rapport formel au conseil d'administration precisant : 

• Les politiques comptables de la firme et du secteur (ex. regies de consoli- 
dation). 

• La revue des syntheses et des rapports des auditeurs internes et externes. 

Les references aux rapports de conseillers juridiques pour les questions 

d'engogements, d'eventuolites et de conformite legale. 


Source : extrait de Piet (2005). 

La fonction de surveillance est en totale adequation avec notre volonte 
d’encadrer le travail d’evaluation du processus de gouvernance de I’entreprise 
de I’audit interne par le comite d’audit. La supervision du deroulement et du 
respect des plans d’audit oblige a des contacts reguliers entre le responsable 
de la fonction d’audit et le comite d’audit. L’ analyse des systemes d’informa- 
tion doit ainsi permettre de regler les conflits d’interets et notamment le rap- 
port de connivence pouvant exister entre dirigeants et auditeurs, du fait du 
lien hierarchique. Le comite d’audit devient ainsi une structure d’encadre- 
ment et de controle susceptible de rendre significativement objective reva- 
luation du processus de gouvernance d’entreprise. Le fait de rendre compte a 
un organe de controle independant vient attenuer la subjectivite resultan te 
du lien hierarchique existant entre audit interne et dirigeants. II existe done 
au travers de ce controle une incitation forte pour les auditeurs a travaiUer en 
toute independance et a se degager des pressions manageriales. Encore faut-il 
que le comite d’audit soit reeUement independant de la direction, sufFisam- 
ment competent et implique dans ses fonctions de supervision ? Se pose 
done le probleme de la composition du comite d’audit. 

Dans le contexte fran^ais, le nombre de membres d’un comite varie entre 
trois et dix personnes. La plupart des rapports recommandent qu’il soit cons- 
titue d’administrateurs independants auxquels il est possible d’associer des 
non-administrateurs en raison de leurs competences particuheres. Il est utile 
qu’un membre du comite d’audit ait des competences juridiques, compta- 
bles et financieres pour pouvoir dialoguer avec les difierents interlocuteurs. 
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L’independance est fondamentale pour la quaUte du controle exerce par ce 
comite d’audit. Ses membres ne doivent pas etre en situation de conflits 
d’interets. Cette independance est mesuree au regard des autres fonctions et 
autres mandats exerces, ou encore exerces il y a moins de cinq ans. En fonc- 
tion de ces elements, il est possible d’afFirmer une independance au service 
de I’interet de la societe et de ses actionnaires ou de ses parties prenantes. 
Concernant I’implication, une mesure imparfaite pent etre realisee au travers 
de la frequence des reunions et des auditions menees. La frequence des reu- 
nions doit etre d’au moins trois par an, correspondant aux trois phases cles de 
I’audit (presentation, planification et coordination du plan d’audit, resultats 
semestriels et examen du controle des comptes annuels) . 11 est evident que ce 
nombre doit etre plus important si le comite d’audit veut reeUement assurer 
un controle de revaluation du processus de gouvernance de I’entreprise. 
Pour ce qui est des auditions, le comite d’audit a pour obligation d’audition- 
ner, apres en avoir informe le president du conseil, les dirigeants mandataires 
sociaux, les directeurs financiers et comptables, les commissaires aux comp- 
tes et le responsable de I’audit interne. Ce dernier doit etre entendu au moins 
une fois par an et hors de la presence des mandataires sociaux. Enfm, le tra- 
vail de controle doit faire I’objet d’un compte-rendu aupres du conseil 
d’administration. 


Pour conclure... 

La presence du comite d'audit ne constitue pas une condition suffisante pour ottenuer 
le risque d'audit resultant d'une evaluation par I'audit interne du processus de 
gouvernance d'entreprise. Il est necessaire que le comite d'audit soit independant, 
competent et implique. Pour affirmer la qualite des evaluations realisees par I'audit 
interne, certains souhaitent un rattachement hierarchique de I'audit interne 
directement au comite d'audit. Si nous concevons qu'il doit exister un rattachement 
fonctionnel de I'audit interne au comite d'audit, nous sommes plus reserves sur un 
rattachement hierarchique, au risque de contraindre I'audit interne dans le perimetre 
etroit de I'audit de conformite et d'efficocite. 



© Groupe Eyrolles 


Chapitre 6 


La loi Sarbanes-Oxley 
et la cooperation audit interne/ 

audit externe 

Par Elisabeth Bertin^, 

MaTtre de Conferences d I'Institut d'Administration des 
Entreprises (lAE) de I'Universite Franpois-Rabelais de Tours 


L a loi americaine Sarbanes-Oxley, adoptee en 2002 et temoignant d’un 
interet croissant pour la gouvernance de I’entreprise, encourage les 
entreprises a se doter de moyens de porter une appreciation sur la pertinence 
de leur controle interne. Ces nouveUes dispositions ont ouvert la voie a une 
serie de revisions legislatives et reglementaires dans d’autres pays. C’est ainsi 
qu’ont ete promulguees notamment, la loi 198 au Canada (2002), la loi de 
Securite Financiere en France (2003) et la loi federale sur la surveillance de la 
revision en Suisse (2005). 

Dans ce contexte, sachant que le controle interne constitue une preoccupa- 
tion majeure de I’auditeur interne et de I’auditeur externe^ et le point de 
convergence de leurs travaux, il apparait pertinent de s’interroger sur 
I’impact de ces reglementations recentes^ sur les relations qu’entretiennent 


1. L’auteur remercie tout particulierement Jean-Fratifois Dufour, Directeur des metho- 
des a la Direction de 1’ Audit Interne de Total, pour les pistes de reflexion suggerees. 

2. Par auditeur externe, il faut entendre, tout au long de ce chapitre, I’auditeur legal 
appele egalenient auditeur statutaire, lequel est charge de certifier la regularite, la sin- 
cerite et la fidelite de I’information comptable et financiere. Ce role est rempli par le 
commissaire aux comptes en France. 

3. Ne pouvant traiter I’ensemble des reglementations nationales dans ce chapitre, nous 
focaliserons notre attention sur la loi Sarbanes-Oxley, source d’inspiration pour diffe- 
rents Etats et, de plus, de portee Internationale. En effet, elle s’applique a toutes les 
entreprises americaines et etrangeres cotees a la Bourse de New York ainsi qu’aux 
filiales des societes americaines. 
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ces deux acteurs de la gouvernance. Professionnels et chercheurs pronent 
leur cooperation comme un moyen de rendre le processus d’audit global plus 
efficient et d’ajouter de la valeur au processus de gouvernance de I’entreprise. 
La « joint audit approach » se doit d’accroitre la qualite des travaux des deux 
types d’acteurs sans porter atteinte a leur independance. 

Cette contribution a ainsi pour objectif de demontrer les bienfaits d’une 
cooperation entre I’audit interne et I’audit externe sur le processus de gou- 
vernance de I’entreprise et d’identifier les facteurs exer^ant une influence sur 
leur degre d’interaction. A cette fin, seront confrontes les aspects normatifs, 
des elements factuels issus de I’actuaHte professionnelle Internationale, 
I’eclairage theorique et enfin les travaux academiques portant sur les deter- 
minants de la cooperation audit interne/audit externe. 

Notre cheminement s’articulera ainsi autour de deux points. Apres avoir 
envisage la cooperation audit interne/audit externe comme une necessite au 
nom d’une plus grande efficacite du processus de gouvernance, nous nous 
interrogerons sur les determinants de I’ampleur de cette cooperation. 


La cooperation audit interne/audit externe : pour une plus 
grande efficacite du processus de gouvernance 

Audit interne et audit externe constituent deux organes complementaires de 
la gouvernance d’entreprise. Leur interaction serait ainsi un moyen de rendre 
le processus d’audit global plus efficace en vue d’une meilleure gouvernance. 
11 convient de prendre en compte dans I’analyse les dispositions recentes sur 
la gouvernance de I’entreprise issues de la loi Sarbanes-Oxley, qui ont inde- 
niablement des repercussions sur cette cooperation. 


Audits interne et externe : deux organes complementaires de la 
gouvernance de I'entreprise 

La separation entre la propriete et le controle engendre le risque que les diri- 
geants, par le biais de leurs decisions, fassent diminuer la valeur des fonds qui 
leur ont ete confies. Ce phenomene est explique a I’aide de la theorie de 
I’agence (Jensen et Meckling, 1976), laqueUe envisage la possibilite d’une 
divergence d’interets entre le principal (I’actionnaire) et I’agent (le dirigeant). 
La stakeholder- agency theory de Hill et Jones (1992) constitue une tentative 
interessante d’elargissement. Elle considere que tous les agents economiques 
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qui ont une creance legitime sur I’entreprise sont des parties prenantes ou 
stakeholders, et qu’en tant que tels, ils sont en droit d’obtenir une partie de la 
rente organisationnelle et susceptibles d’etre alFectes par des styles de gestion 
inefficients (Depret et Hamdouch, 2005). L’objectif essentiel du systeme de 
gouvernance s’avere alors de perenniser le « noeud de contrats » constitutif de 
I’entreprise, et paraUelement, d’optimiser la « latitude manageriale » (Char- 
reaux, 2004). La gouvernance d’entreprise recouvre ainsi « I’ensemble des 
mecanismes organisationnels qui ont pour effet de delimiter les pouvoirs et 
d’influencer les decisions des dirigeants, autrement dit qui gouvernent leur 
conduite et defmissent leur espace discretionnaire » (Charreaux, 1997). 

Les debats sur la gouvernance de I’entreprise ont longtemps ete centres 
sur les aspects financiers, cherchant a ameliorer la qualite du reporting 
financier, en renforgant notamment le role de I’auditeur legal. Les disposi- 
tions legales les plus recentes en matiere de gouvernance d’entreprise (loi 
Sarbanes-Oxley notamment) sont plus explicitement destinees a amelio- 
rer les mecanismes de controle interne, se fondant sur I’hypothese d’une 
relation forte entre le controle interne, la qualite du reporting financier et 
la gouvernance de I’entreprise. Meme si eUes ne font pas reference direc- 
tement a I’audit interne, ces nouveUes reglementations confortent la legi- 
timite de la fonction d’audit interne et son triple role, eu egard a la 
gouvernance. Les complementarites entre I’auditeur interne et I’auditeur 
externe justifient leur cooperation. 


L'audit externe en tant qu'organe de gouvernance 

L’auditeur externe, obMgatoire dans certaines categories d’ organisations, est 
un agent mandate par I’assemblee generate des actionnaires, pour controler 
et certifier I’information comptable et financiere produite par I’entreprise. La 
norme internationale d’audit externe ISA^ 200 « Objectif et principes gene- 
raux en matiere d’audit d’etats financiers » precise que « I’objectif d’un audit 
d’etats financiers est de permettre a I’auditeur d’ exprimer une opinion, selon 
laqueUe les etats financiers ont ete etablis, dans tons leurs aspects significatifs, 
conformement a un referentiel comptable applicable. Un audit d’etats finan- 
ciers releve des missions d’assurance ». 

Si Ton considere que le dirigeant d’entreprise doit satisfaire une multitude de 
parties prenantes ou stakeholders, la seule prise en compte du lien actionnaires/ 


1 . International Standard on Auditing. 
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dirigeant apparait reductrice. L’entreprise est un centre d’interets multiples. 
Toutes les parties prenantes accordent de I’iniportance a I’information comp- 
table et financiere, enjeu du partage des succes et des echecs de I’entreprise. 
L’auditeur devient alors un element non negHgeable de I’equilibre entre le 
dirigeant et I’ensemble des autres stakeholders. On est confronte a une relation 
d’agence tres particuliere, en ce sens ou : 

* il existe en fait une multiplicite de mandants (differentes categories de sta- 
keholders) pour le mandataire qu’est I’auditeur externe ; 

* ce mandataire a pour mission de controler la regularite, la sincerite et la 
fidelite de I’information comptable et financiere diffusee par un autre 
mandataire des stakeholders, le dirigeant ; 

* dans ce cas bien particulier, le mandataire qu’est I’auditeur externe n’est 
pas remunere par ses mandants, mais par I’entite controlee (Bertin et al., 
2002 ). 

Le rapport emis par I’auditeur est pour les tiers un instrument privilegie de 
controle. 11 constitue un signal qui montre comment I’auditeur a accompli sa 
mission et queUes sont ses conclusions quant a la fiabilite de I’information 
financiere. 

La qualite de I’audit externe implique que I’auditeur decouvre d’even- 
tuelles fraudes ou irregularites dans les etats financiers du client et qu’il 
soit en mesure de les reveler effectivement (De Angelo, 1981a; 
De Angelo, 1981b). La premiere condition repose sur la competence glo- 
bale de I’auditeur et sur le niveau d’effort qu’il engage dans la mission. 
Ceux-ci sont garantis par la possession obligatoire d’un diplome profes- 
sionnel specifique, les exigences en matiere de formation continue et 
I’obligation de moyens a laquelle il est soumis. La seconde condition 
depend du niveau d’independance de I’auditeur, c’est-a-dire du degre 
avec lequel il peut resister aux pressions exercees par son client dans une 
situation de conflit d’interet. Son independance est protegee juridique- 
ment et statutairement : le contenu et I’etendue de la mission, les incom- 
patibilites, les modes de nomination et de remuneration, les conditions 
d’exercice de la mission d’audit sont definis dans des textes legislatifs, dans 
les normes de la profession et dans les statuts. 

De plus, les mecanismes de controle professionnel se sont intensifies ces der- 
nieres annees, notamment aux Etats-Unis avec la creation du Public Com- 
pany Oversight Board (PCAOB) institue par la loi Sarbanes-Oxley, et en 
France avec la creation du Haut Conseil du Commissariat aux Comptes 
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(H3C) rendue obligatoire par la loi de Securite Financiere. Enfin, I’auditeur 
legal doit se referer a un code de deontologieb 

Le triple role de I'audit interne eu egard a la gouvernance 

L’ audit interne est defini comme une « activite independante et objective qui 
donne a une organisation une assurance sur le degre de maitrise de ses opera- 
tions, lui apporte ses conseils pour les ameliorer et contribue a creer de la 
valeur ajoutee. 11 aide cette organisation a atteindre ses objectifs en evaluant, 
par une approche systematique et methodique, ses processus de management 
des risques, de controle et de gouvernement d’entreprise, et en faisant des 
propositions pour renforcer leur efficacite » (llA, 1999 ; IFACl, 2002). 

Les auditeurs internes portent une double casquette : ils assurent a la fois une 
mission d’assurance et une autre de conseil. Le role de I’audit interne est deter- 
mine par la direction et ses objectifs varient selon les exigences de ceUe-ci. 

Adams (1994), prenant appui sur la theorie de I’agence et se fondant sur 
Fimportance de I’asymetrie informationnelle entre dirigeants et actionnaires, 
indique que la presence ou non d’un departement d’ audit interne dans une 
organisation, ainsi que la nature des activites realisees par cette function, 
semblent dependre en grande partie du secteur d’activite, de la taille de la 
firme et de la structure de I’actionnariat. Mais, comme pour I’auditeur 
externe, la prise en consideration de la seule relation dirigeant/actionnaire 
est insuffisante pour legitimer le role de I’audit interne, d’autant que cette 
function exerce une mission qui depasse tres largement le cadre du domaine 
financier. L’audit interne represente un mecanisme de regulation des rela- 
tions entre le dirigeant et les differentes parties prenantes. 11 pent etre consi- 
dere comme un cout de dedouanement supporte par I’agent pour signaler a 
ses mandants (differents stakeholders) qu’il agit conformement a leurs interets. 

Plusieurs facteurs semblent garantir I’objectivite et I’independance des audi- 
teurs internes : leur rattachement au plus haut niveau dans I’organisation et 
I’existence d’un canal de communication specifique (comite d’audit) per- 
mettant de rapporter les erreurs et les irregularites (Ponemon, 1991). 

1. L’ International Federation of Accountants’ Ethics Committee de I’lnternational Feder- 
ation of Accountants (IFAC) a public en juin 2005 le Code of Ethics for Professional 
Accountants. L’lFAC est I’organisation mondiale de la profession comptable, chargee de 
developper des normes internationales sur I’audit legal, les missions d’assurance, I’ethi- 
que et la formation des professionnels comptables. En France, le Code de deontologie de 
la profession de commissaire aux comptes de la CNCC a ete approuve par le decret du 
16 novembre 2005. 
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L’accent etant mis sur I’independance de ce dispositif et son rattachement 
fonctionnel au comite d’audit, il pourrait etre egalement vu comme un cout 
de surveillance encouru par les actionnaires et les autres stakeholders, pour 
proteger leurs interets. 


En pratique 

En matiere de gouvernonce, I'ouditeur interne remplit un triple role ; il est d 
la fois portie prenonte (ou dispositif de mise sous controle de I'orgoniso- 
tion), juge et conseiller. En tont que juge et conseiller, il doit fournir des eva- 
luations independontes objectives sur la pertinence et I'efficocite de la 
structure et des meconismes de gouvernonce et, ogir en tont que cotolyseur 
du chongement en preconisont des ameliorations, ofin d'occroTtre I'effico- 
cite du processus de gouvernonce. Le role de I'audit interne en matiere de 
gouvernonce depend du degre de moturite de la structure et du processus 
de gouvernonce de I'entreprise (HA, 2006). 


Les complementarites entre audit interne et audit externe 

Les developpements qui precedent permettent de faire ressortir les differen- 
ces, mais aussi les complementarites, entre audit interne et audit externe. 
Elies sont resumees dans le tableau ci-apres. 

Tableau n" 1 : les divergences et les complementarites entre I’audit interne 

et I’audit externe 



Audit externe 

Audit interne 

Statut de I’audit 

Mecanisme non specifique/ 
externe 

Mecanisme specifique/interne 

Mecanisme obligatoire pour 
certaines categories d’organi- 
sations 

Mecanisme intentionnel 

Mandants/beneti- 
ciaires de I’audit 

Actionnaires, dans les textes 
Ensemble des stakeholders, 
en fait 

Direction generale, managers 
Conseil d’administration/Comite 
d’audit. 

Ensemble des stakeholders, indi- 
rectement 


o 
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Audit externe 

Audit interne 

Champ d’applica- 
tion de I’audit 

Processus d’elaboration des 
etats financiers et de determi- 
nation du resultat 

Global 

Aval 

Amont 

L’auditeur interne identifie et eva- 
lue les risques avant qu’ils ne 
soient traduits dans les comptes. 

Temporalite de la 
mission d’audit 

Mission permanente dans les 
textes 

Mission generalement intermit- 
tente dans les fails 

Mission continue 

Suivi des recommendations 

Nature de la mis- 
sion d’audit 

Mission d’assurance 

Mission d’assurance 
Mission de conseil 

Position eu egard 
a la gouvernance 

Acteur/mecanisme de gouver- 
nance (dispositif de mise sous 
controle) 

Acteur/mecanisme de gouver- 
nance (dispositif de mise sous 
controle) 

Evaluateur de la gouvernance 
Conseiller en matiere de gouver- 
nance 

Dynamique de 
I’audit 

Stabilite 

L’auditeur externe realise le 
meme type d’audit chaque 
annee ; il est en relation avec 
les memes interlocuteurs dans 
les memes services. 

Reactivite, adaptabilite, diversite 
L’auditeur planifie son travail en 
reponse aux besoins de la direc- 
tion ou du comite d’audit ou en 
fonction de I’emergence de 
risques ; les interlocuteurs sent 
variables. 

Independance 

Protegee juridiquement 

Garantie par un rattachement au 
plus haut niveau et une relation 
etroite avec le comite d’audit 
(quand il existe) 

Diffusion du/des 
rapports d’audit 

Diffusion large du rapport 

Diffusion restreinte des rapports 

Avantages specifi- 
ques 

Experience d’autres entrepri- 
ses et d’autres secteurs 

Connaissance approfondie de 
I’entreprise et du secteur 


L’ audit externe, dont Tobjectif est de certifier la regularite, la sincerite et 
fimage fidele des comptes, qui ne doit pas s’immiscer dans la gestion de 
I’entreprise et dont I’independance est protegee juridiquement, est legitime 
par le courant disciplinaire partenarial de la gouvernance. Selon cette appro- 
che, I’entreprise est concue conmie un noeud de contrats et I’audit externe 
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constitue I’un des dispositifs mis en oeuvre pour empecher ou reduire les 
conflits d’interets entre parties prenantes a I’entreprise (Charreaux, 2004) . 

L’ audit interne, parce qu’il remplit, a cote d’une mission traditionnelle 
d’assurance, une mission de conseil, est un mecanisme de gouvernance legi- 
time a la fois par le courant disciplinaire et par le courant cognitif de la gou- 
vernance. Selon ce dernier, I’organisation est apprehendee comme un Meu 
de connaissances et le systeme de gouvernance devient « I’ensemble des 
mecanismes permettant d’avoir le meiUeur potentiel de creation de valeur 
par I’apprentissage et I’innovation » (Charreaux, 2004). L’independance de 
I’auditeur interne n’etant pas protegee juridiquement comme ceUe de I’audi- 
teur externe, et I’auditeur interne etant un membre a part entiere de I’orga- 
nisation controlee, on pourrait etre tente de dire que I’aspect disciplinaire est 
moins puissant que dans le cas de I’auditeur externe. 

On comprend alors que la cooperation entre audit interne et audit externe 
s’avere source de bienfaits non negUgeables. Le processus d’ audit global (audit 
interne plus audit statutaire) constitue un dispositif agissant simultanement sur 
les dimensions disciplinaires et cognitives du processus de creation/repartition 
de la valeur. 11 participe ainsi a la reconstruction de la vision financiere de la 
gouvernance elargie aux dimensions cognitives (Charreaux, 2004) . 

L’interaction donne naissance a des effets de synergie en matiere de compe- 
tences. La multiplication des points de vue et le partage des informations 
renforce la competence de chacun. 

La ou existe une function d’audit interne, I’auditeur externe apprecie diffe- 
remment les qualites de regularite et de sincerite des comptes qui lui sont 
presentes. La ou un auditeur externe exerce son activite, la maitrise des affai- 
res s’en trouve renforcee. Chacun pent se prevaloir des travaux de I’autre 
pour asseoir son jugement ou etayer sa demonstration (Renard, 2006). 

Si les avantages en matiere de partage des connaissances et de complementa- 
rite des competences sont evidents, les effets de synergie en termes d’inde- 
pendance restent cependant a demontrer. 

Enfm, une collaboration etroite des deux organes permet de realiser des eco- 
nomies de couts, par rapport a une situation ou les deux acteurs travaiUe- 
raient completement separement. Selon Felix et al. (2001) et Haron et al. 
(2004), la participation de I’audit interne a I’audit statutaire permet d’abaisser 
le montant des honoraires verses aux auditeurs externes. Cet argument revet 
un interet particuher dans un contexte de pression sur les honoraires des 
controleurs legaux des comptes. L’efficience de I’entreprise se trouve ainsi 
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renforcee. De meme, le developpement du departement d’audit interne pent 
etre vu conmie un stratageme de la part des dirigeants souhaitant reduire le 
cout de surveillance genere par I’audit externe tout en signalant aux proprie- 
taires et aux autres stakeholders que I’etendue de I’audit n’est pas reduite. 

Apres avoir mis en lumiere les complementarites de I’audit interne et de 
I’audit externe, il convient de preciser les dispositions de la loi Sarbanes- 
Oxley alfectant I’audit interne et I’audit externe. 


L'impact ambigu de la loi Sarbanes-Oxley sur la cooperation 
audit interne/audit externe 

La loi Sarbanes-Oxley, nous I’avons vu plus haut, renforce les obligations en 
matiere d’information sur le controle interne, pour toutes les entreprises 
cotees a la Bourse de New York. 


Quelques precisions legales 

La section 404 de ce texte stipule que ces societes doivent emettre un rap- 
port sur le controle interne lie au reporting financier, affirmant que la direc- 
tion est responsable d’une structure de controle interne adequate, et 
contenant une evaluation par le management de I’efficacite du dispositif et 
des procedures de controle interne. 

La section 302, eUe, precise que la direction generale {Chief Executive Officer) 
et que le directeur financier {Chief Financial Officer) sont directement respon- 
sables de I’exactitude, de la documentation et de la publication des docu- 
ments financiers, ainsi que de la structure de controle interne. 


En pratique 

La section 302 implique que la direction generale et le directeur financier 
certifient notamment : 

- qu'd leur connaissance, le rapport ne contient pas d'elements errones ou 
trompeurs ou n'omet pas d'information significative, que les etats finan- 
ciers et les autres informations financieres contenues dans le rapport, sont 
fideles d la realite ; 

- qu'ils sont responsables de la mise en oeuvre de controles internes ; 

.../... 
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- qu'ils ont evalue I'efficacite des procedures de controle interne dans les 
90 jours precedont le rapport et qu'ils ont presente dons le rapport leurs 
conclusions - resultant de cette evaluation - ou sujet de I'efficacite des pro- 
cedures de controle interne ; 

- qu'ils ont divulgue oux ouditeurs externes oinsi qu'ou comite d'oudit, 
toutes les defoillonces significotives relatives d la conception et d la mise en 
oeuvre des procedures de controle interne, oinsi que toute froude qui com- 
promet le management et toute personne impliquee dons les procedures de 
controle interne ; 

- qu'ils ont indique dons le rapport s'il y a eu ou non des chongements dons 
les procedures de controle interne -y compris les mesures correctrices desti- 
nees d remedier oux foiblesses du controle interne - opres leur evaluation. 


Selon la section 404, les auditeurs externes doivent certifier I’exactitude du 
rapport elabore par le management sur la conception, la mise en oeuvre et 
I’efficacite de la structure et des procedures de controle interne concernant le 
reporting financier. 


Les consequences sur la gestion de I'audit 

Ces nouvelles dispositions affectent ineluctablement la facon dont I’audit 
externe est mene. En particulier, le niveau de connaissance des procedures 
de controle interne que I’auditeur externe doit acquerir en vue d’ exprimer 
une opinion sur les etats financiers^ n’est pas le meme que celui desormais 
necessaire pour certifier I’exactitude du rapport sur ces controles eux- 
memes. La nature, I’etendue et la periodicite des tests j usque-la mis en oeuvre 
peuvent etre insuffisantes ou inappropriees pour emettre un tel jugement. 

C’est ainsi qu’en 2003, 1’lnternational Federation of Accountant’s (IFAC’s) 
International Auditing and Assurance Standards Board (lAASB) a pubUe de 
nouvelles normes d’audit (externe) Internationales, avec pour ambition 
d’ameliorer revaluation des risques et du controle interne par les auditeurs 
legaux^. 11 s’agit notamment des normes ISA 315 « Connaissance de I’entite 


1. Afin de certifier la regularite, la sincerite et la fideUte des etats financiers, Fauditeur externe 
doit apprecier les dispositifs de controle interne de nature financiere et comptable. 

2. Au niveau national, de telles normes ont egalenient ete publiees. En France, par exem- 
ple, la CNCC a emis en 2006 les Normes d’Exercice Professionnel (NEP) 315, 330, 
500, qui correspondent a Fadaptation des normes ISA correspondantes. La huitieme 
directive europeenne revisee (2006) rend obligatoire Fapplication des normes ISA dans 
tous les pays de FUE. 
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et de son environnement et evaluation du risque d’anomaUes significatives », 
ISA 330 « Procedures a mettre en oeuvre par I’auditeur en fonction de son 
evaluation des risques » et ISA 500 « Preuve d’audit ». 

EUes placent I’audit par les risques au centre des diligences de I’auditeur 
externe et requierent principalement de celui-ci qu’il : 

• mette en oeuvre des procedures d’audit permettant d’acquerir une 
meiUeure connaissance de I’entite et de son environnement, y compris de 
son controle interne ; 

• procede a des evaluations plus rigoureuses et plus exhaustives des risques 
d’erreurs dans les etats financiers ; 

• conq:oive et mette en oeuvre des procedures d’audit complementaires en 
fonction de revaluation du risque d’anomalies significatives au niveau des 
etats financiers (y compris des tests portant sur I’efficacite du fonctionne- 
ment des controles lorsqu’ils sont pertinents ou necessaires) et des asser- 
tions dans le cadre de I’audit des etats financiers ; 

• apprecie la vaHdite de revaluation initiale du risque et conclut sur le 
caractere suffisant et approprie des elements probants recueiUis. 

Le role de I'auditeur interne 

Si la loi Sarbanes-Oxley specifie le role de la direction et des auditeurs exter- 
nes en matiere de controle interne, elle ne traite pas specifiquement du role 
de I’auditeur interne. 

Selon I’lIA (2004), I’implication de I’audit interne dans la mise en confor- 
mite avec la loi Sarbanes-Oxley est importante et doit etre compatible avec 
les normes professionneUes. En particulier, la fonction d’audit interne ne 
doit pas compromettre son objectivite et son independance. L’lIA precise 
que le departement d’audit interne doit intervenir a quatre niveaux : la 
supervision du projet, le consed et la documentation, les controles et les tests, 
I’audit de projet. En ce qui concerne la supervision du projet, I’auditeur 
interne doit agir en tant que « facilitateur » entre la direction et les auditeurs 
externes. L’lIA preconise que I’auditeur interne se comporte en coordinateur 
entre la direction et les auditeurs externes, en ce qui concerne le champ et le 
programme des controles. Ainsi, il accroit la conscience des dirigeants en 
matiere de risques et de controles, ameliore 1’ environnement de controle et 
contribue a la reduction des honoraires des auditeurs externes. En ce qui 
concerne I’audit de projet, il joue un role d’assurance des differentes parties 
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prenantes (y compris I’auditeur externe). Il peut meme etre amene a donner 
une opinion sur les procedures de controle interne financier. 

Si revaluation du controle interne a toujours constitue une preoccupation 
capitale et un point de rencontre de I’audit interne et de I’audit externe, 
I’apprehension du controle interne par les deux professions se rapproche a la 
suite des reglementations recentes : le controle interne n’est plus pour I’audit 
externe un simple « moyen », il est devenu un « objectif », comme il Test 
depuis toujours pour I’audit interne. 11 faut cependant noter que I’auditeur 
externe ne s’interesse qu’au controle interne comptable et financier. 

Quant a I’inipact de ces evolutions sur la cooperation audit interne/audit 
externe, eUes paraissent ambigues. En efiet, d’un cote, eUes semblent inciter a 
une multiplication des echanges, a une intensification de la communication 
entre I’auditeur interne et I’auditeur externe et a une utilisation accrue des 
travaux de I’audit interne par I’audit externe. 

Mais de I’autre cote, on peut concevoir que les auditeurs externes, confron- 
tes a un accroissement de leur niveau de responsabilite et d’engagement en 
matiere d’evaluation du controle interne, souhaitent refaire par eux-memes 
les tests, de peur de porter atteinte a leur independance, en s’appuyant sur des 
travaux et des documents realises par des membres de I’entreprise controlee. 

11 importe alors de se pencher sur les determinants de I’etendue de la colla- 
boration audit interne/audit externe. 


Les determinants de Kampleur de cooperation 
audit interne/audit externe 

Les modaHtes de la cooperation audit interne/audit externe sont formeUe- 
ment prevues par les normes edictees par les deux professions. EUes impU- 
quent differentes formes de collaboration. Les conditions de I’interaction 
entre les deux professions sont ensuite mises en lumiere. 


Les modalites et les formes de la cooperation audit interne/ 
audit externe 

Les deux professions sont regies au niveau international par des normes pro- 
fessionneUes edictees par leur association professionnelle respective : I’llA et 
riFAC. Ces organismes ont public des normes precisant le domaine et 
I’etendue de la coUaboration entre I’audit interne et I’audit externe : 
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• la norme internationale pour la pratique professionnelle de I’audit interne 
2 050 emise par I’lIA ; 

• r International Standard of Audit ISA 610 dilFusee par I’lFAC. 

Nous concentrerons notre attention sur ces deux textes de portee internatio- 
nale qui emanent des deux organisations professionnelles, sachant qu’au 
niveau national, des normes specifiques sont publiees par les organismes pro- 
fessionnels de I’audit externe^ et qu’il existe d’autres textes de portee inter- 
nationale, mais qui ne concernent que certains secteurs d’activite, en 
particuHer le domaine bancaire^. 

Com pa rati f 

Une comparaison des normes 2 050 de I’lIA et 610 de I’lFAC est menee au 
travers des quatre points suivants (voir tableau n° 2) : 

• I’objectif et Finteret d’une cooperation audit interne/audit externe ; 

• le champ d’intervention et la delimitation des responsabilites ; 

• revaluation respective des travaux et des performances ; 

• les rencontres et les informations echangees. 

Tableau n” 2 - Une comparaison des normes IIA 2 050 et ISA 610 



Audit interne 
Norme IIA 2 050 

Audit externe 
Norme ISA 610 

Objectifs et 
interet de la 
cooperation 

« Le responsable de iaudit interne 
doit partager les informations et 
coordonner les activites avec les 
autres prestataires internes et exter- 
nes de services d’assurance et de 
conseil, de maniere a assurer une 
couverture adequate des travaux 
et a eviter dans toute la mesure 
du possible les double emplois. » 

« L’auditeur externe doit prendre en 
compte les travaux de I’audit interne 
ainsi que leur incidence potentielle 
sur les procedures d’audit externe. 
(...) Certains aspects de I’audit 
interne peuvent etre utiies pour 
definir la nature, le calendrier et 
I’etendue des procedures d’audit 
externe. » 


1. Par exemple la NEP (Norme d’Exercice Professionnel) 610 produite en 2007 par la 
CNCC en France et adaptant la norme ISA 610. Rappelons que la huitieme directive 
europeenne (2006) rend obligatoire I’usage des standards internationaux d’audit (ISA) 
dans la conduite des audits statutaires en Europe. 

2. Le Comite de Bale, dans son document public en aout 2001 sur « I’audit interne dans 
les banques et les relations des autorites de tuteUe avec les auditeurs » stipule que « les 
autorites de tutelle doivent encourager les auditeurs internes et externes de fafon a 
rendre leur collaboration aussi reeUe et elFicace que possible. (...) La cooperation entre 
autorite de tutelle, auditeur interne et auditeur externe a pour objectif de rendre les 
travaux de toutes les parties concernees plus rationnels afm d’optimiser le controle. 
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Audit interne 
Norme IIA 2 050 

Audit externe 
Norme ISA 610 

Champ 
d’interven- 
tion et delimi- 
tation des 
responsabili- 
tes 

Le champ d’intervention de I’audi- 
teur interneb ainsi que celui du 
controleur legal des comptes sent 
rappeles. II est en particulier indi- 
que que « le responsable de I’audit 
interne peut accepter d’effectuer 
des travaux pour les auditeurs 
externes lors de la certification 
des comptes ». 

Responsabilite de la coordina- 
tion audit Interne/audit externe. 

« La coordination doit relever du 
responsable de I’audit interne^. » 

« Le responsable de I’audit interne 
doit communiquer a la direction 
generale et au Conseil les conclu- 
sions concernant la coordination 
entre auditeurs internes et audi- 
teurs externes. » 

« L’auditeur externe doit acquerir 
une connaissance suffisante des 
travaux de I’audit interne pour iden- 
tifier et evaluer le risque d’anoma- 
lies significatives au niveau des 
etats financiers et pour concevoir 
et mettre en oeuvre des procedu- 
res d’audit complementaires. 

La norme definit alors I’audit interne 
et ses missions. 

Responsabilite de I’opinion 
d’audit 

« L’auditeur externe conserve 
I’entiere responsabiiite de I’opinion 
d’audit exprimee. » 

Evaluation 

respective 

Evaluation de la performance 
des auditeurs externes 

« En exergant son role de sur- 
veillance, le Conseil peut deman- 
der au responsable de I’audit 
interne d’evaluer la performance 
des auditeurs externes. Elle peut 
couvrir notamment les points sui- 
vants : connaissances et experien- 
ces professionnelles, 
connaissance du secteur d’activite 
de I’organisation, independence, 
expertises directement liees a la 
mission, anticipation des besoins 
de I’organisation et reactivite, rela- 
tive stability des principaux colla- 
borateurs, qualite des relations de 
travail, respect des engagements 
contractuels. (...) » 

Evaiuation de la fonction d’audit 
interne 

« L’auditeur externe doit proceder a 
une evaluation de la fonction d’audit 
interne lorsqu’il s’avere que celle-ci 
peut etre utile a son evaluation des 
risques. » 

« Les criteres importants suivants 
sent a considerer : statut dans 
I’organisation, etendue de la fonc- 
tion, competences techniques, dili- 
gences professionnelles. » 
Evaluation des travaux de I’audit 
interne 

« Lorsque I’auditeur externe a 
I’intention d’utiliser des travaux spe- 
cifiques de I’audit interne, il doit eva- 
luer et examiner ces travaux. Cette 
evaluation peut porter sur « la 
supervision et la documentation des 


1. Decrit dans la nornie 2 100. 

2. La norme 2 050 precise egalenient : « La surveillance des travaux de commissariat aux 
comptes, y compris la coordination avec I’audit interne, est du ressort du Conseil. » Le 
responsable de I’audit interne « doit avoir en fait I’appui du Conseil pour coordonner 
efficacenient les travaux d’audit ». 

@ 
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Audit interne 
Norme IIA 2 050 

Audit externe 
Norme ISA 610 


Participation de I’audit interne a la 
selection des auditeurs externes 

« La participation de i’auditeur 
interne au processus de selection et 
d’evaluation des commissaires aux 
comptes de I’organisation ou a la 
decision concernant le renouveile- 
ment de ieur mandat peut revetir des 
formes diverses : participation nulie, 
role de conseil aupres du manage- 
ment ou du comite d’audit, assis- 
tance ou participation au processus, 
gestion ou audit du processus. » 
Communication des evaluations 
Le responsabie de I’audit interne 
accompagne, le cas echeant, ses 
conclusions sur la coordination entre 
I’audit interne et I’audit externe, de « 
commentaires sur les performances 
des auditeurs externes^ ». 

travaux, le recueil d’elements pro- 
bants, la coherence et la pertinence 
des travaux et des conclusions, 
rapport de solutions satisfaisantes 
aux exceptions et aux questions 
inhabituelles mises en evidence par 
les travaux de I’audit interne ». 

« Get examen peut necessiter le 
controle de domaines deja verifies 
par I’audit interne, I’examen d’autres 
domaines similaires et I’observa- 
tion des procedures d’audit interne 

Rapport sur les evaluations 

« L’auditeur externe consignera ses 
conclusions resultant de I’evaluation 
des travaux specifiques de I’audit 
interne et de I’examen de ceux-ci. » 

Rencontres 
et echanges 
d’informa- 
tions^ 

« La coordination des travaux 
d’audit implique des rencontres 
periodiques pour discuter des 
sujets d’interet mutuel : couver- 
ture des zones d’audit, acces reci- 
proque aux programmes et aux 
dossiers de travail, echange des 
rapports d’audit et des notes de 
synthese adresses au manage- 
ment, comprehension mutuelle des 
techniques, des methodes et de la 
terminologie d’audit. » « II peut etre 
efficace d’utiliser des techniques, 
methodes, referentiels et une ter- 
minologie similaires. » 

« La coordination avec I’audit 
interne est plus efficace lorsque des 
reunions ont lieu a des interval- 
les reguliers durant la periods. 
L’auditeur externe aura besoin 
d’etre informe des rapports d’audit 
interne I’interessant et d’en avoir 
communication. II aura egalement 
besoin d’etre tenu informe de touts 
question significative dont I’auditeur 
interne a eu connaissance et sus- 
ceptible d’avoir une incidence sur 
ses propres travaux. De meme, 
I’auditeur externe informera en 
principe I’auditeur interne de touts 


1. L’lfAcI, dans sa version franpaise de la norme, ajoute : « L’ audit interne peut egalenient 
jouer un role fondaniental en alertant la direction generale et/ou le comite d’ audit 
lorsque la pression exercee sur les commissaires aux comptes et les reductions d’hono- 
raires ne perniettent plus d’assurer I’efficacite et la qualite de leurs travaux de 
controle. » 

2. Les echanges d’inforniations doivent respecter les regies de confidentialite attachees 
aux deux fonctions. Celles-ci sont precisees par la norme 2 440 de I’lIA, pour ce qui 
est de I’audit interne et dans le Code de deontologie de I’lFAC, pour ce qui est de 
I’audit externe. 
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Audit interne 
Norme MA 2 050 

Audit externe 
Norme ISA 610 


« Le responsable de I’audit interne 
doit consuiter ies auditeurs 
externes et prendre connais- 
sance de leurs observations [au 
Conseil], qui peuvent porter sur les 
points suivants : facteurs suscepti- 
bles d’influer sur I’independance 
des auditeurs externes, faiblesses 
de controle interne significatives, 
erreurs et irregularites, actes ille- 
gaux, avis du management et esti- 
mations comptables, ajustements 
d’audit significatifs, desaccords 
avec le management, difficultes 
rencontrees lors de I’audit. ». 

question importante pouvant avoir 
une incidence sur les travaux de 
I’audit interne. » 


Une reformulation de I’lSA 610 est en cours. Des propositions sont avancees 
par riFAC, mais ne sont pas encore validees a I’heure ou nous redigeons 
cette contribution. Pour information, I’lFAC envisage essentieUement trois 
actions. 11 s’agit tout d’abord de supprimer certaines phrases redondantes 
avec des informations contenues dans une autre norme. 

11 faut egalement donner un autre statut a certains paragraphes, qui sont 
eleves au rang d’objectif ou d’exigence. Notamment, la nouveUe version 
pourrait preciser que I’objectif de I’auditeur externe est d’acquerir une 
connaissance sufFisante de la function d’audit interne et de determiner si les 
activites de la function d’audit interne sont utiles pour programmer et reah- 
ser I’audit, si elles sont pertinentes, leur effet sur les procedures mises en 
oeuvre par I’auditeur externe. De meme, I’lFAC pourrait considerer comme 
imperative revaluation des contraintes et des restrictions imposees par la 
direction et pesant sur la fonction d’audit interne. 

Enfin, la troisieme action consiste a integrer de nouvelles informations afin 
de rendre la norme ISA 610 plus coherente avec les normes emises recem- 
ment. Par exemple, on pourrait lire : « I’auditeur veillera a acquerir une 
connaissance sufFisante de la fonction d’audit interne en conjunction avec le 
controle interne. » 

Ainsi, les deux normes reconnaissent la complementarite des deux profes- 
sions et I’interet d’une cooperation entre eUes, afm d’accroitre I’efficacite et 
I’efFicience du processus d’audit global. Elles suggerent neanmoins la possibi- 
lite de divergences dans la collaboration audit interne/audit externe. 
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Quelques divergences 

D’une part, I’interaction audit interne/audit externe peut etre absente, occa- 
sionnelle, reguliere ou frequente. Les normes mettent I’accent sur la neces- 
site pour les auditeurs internes et externes de se rencontrer reguHerement. 
Cependant, elles ne nous disent rien quant a la frequence et a la duree de ces 
reunions. De meme, eUes ne precisent pas la configuration de ces 
rencontres : reunions en tete-a-tete, en presence de membres du comite 
d’audit, en presence de la direction generale, etc. 

D’autre part, la cooperation revet plusieurs formes. En I’absence de collabo- 
ration, on parlera de simple coexistence des deux organes de gouvernance. 
Quant au niveau suivant, il releve de I’integration des travaux de I’audit 
interne par I’audit externe. Les auditeurs externes s’appuient sur les travaux 
des auditeurs internes de deux fagons : soit en leur demandant d’effectuer 
des taches specifiques, soit en faisant confiance aux tests et aux rapports qu’ils 
ont realises de leur cote. Cependant, I’auditeur externe ne saurait utiliser les 
travaux de I’audit interne sans avoir evalue auparavant leur qualite intrinse- 
que et la « qualite » de leurs auteurs. L’audit interne peut alors etre 
« subordonne » a I’audit externe. En aucun cas, I’auditeur externe ne peut 
etre « subordonne » a I’audit interne. La norme ISA 610 met I’accent sur 
cette approche de la cooperation. 

Enfin, le dernier niveau est celui de partenariat. D’un cote, chaque acteur a 
besoin de I’autre pour atteindre ses propres objectifs. De I’autre, il s’agit de 
mettre en commun, de partager et de produire conjointement des connais- 
sances, de s’evaluer reciproquement, afin d’atteindre un objectif commun : 
accroitre refficacite du processus d’audit global. En vue d’une meiUeure 
comprehension et d’une plus grande efficacite, il est primordial que les deux 
acteurs utHisent le meme langage, les memes referentiels. Nous pensons la au 
referentiel de controle interne, notamment. Le partenariat peut etre infor- 
mel ou formel. La formalisation peut etre organisationnelle (supervision de 
la part du comite d’audit) ou procedurale (validation, evaluation). Le parte- 
nariat suppose une interaction symetriqueh La norme llA 2 050 privilegie 
cette approche de la cooperation. 

1 . EUe se caracterise par I’egalite et la minimisation de la difference, tandis qu’une inte- 
raction complementaire se fonde sur la maximisation de la difference. Dans la relation 
complementaire, I’un des partenaires occupe une position diversement designee 
comme superieure, premiere ou « haute » (one-up), et I’autre la position correspon- 
dante dite inferieure, seconde ou « basse » (one-down) . Le contexte social ou culturel 
fixe dans certains cas une relation complementaire. (Watzlawick, P. et al., Une logique de 
la communication, Le Seuil, 1972). 
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Nous estimons que le partenariat est la solution la mieux a meme d’ajouter 
de la valeur a la gouvernance de I’entreprise et que I’auditeur interne n’a pas 
a traiter exclusivement ou essentieUement du controle interne financier. 
L’auditeur externe ne doit pas considerer I’audit interne conmie une simple 
« ressource maison » pour la realisation de son travail, mais respecter la valeur 
de la contribution specifique de cette fonction (ECllA, 2005). 

Quelle que soit sa forme, la cooperation implique confiance et reconnais- 
sance mutuelles. 


Les conditions de la cooperation audit interne/audit externe 

L’etendue de la collaboration est influencee par I’orientation des travaux des 
auditeurs internes, leur disponibilite, la qualite de la coordination entre les 
auditeurs internes et externes, les besoins de I’auditeur externe et sa 
confiance dans les travaux de I’audit interne. 

L’auditeur externe recherchera I’aide de I’audit interne si les travaux et les 
connaissances de ce dernier sont specifiques. En particulier, un secteur 
d’activite et/ou une organisation complexes peuvent exercer une influence 
sur le niveau d’interaction. Par aiUeurs, la qualite de I’audit interne influence 
le degre de confiance de I’auditeur externe dans les travaux de I’audit 
interne. Enfin, I’existence d’un comite d’audit efficace semble promouvoir la 
cooperation entre I’audit interne et I’audit externe. 


Un secteur d'activite et/ou une organisation complexe(s) 

La theorie des couts de transaction (Williamson, 1985 et 1991) est appro- 
priee pour expliquer I’impact du niveau de complexite du secteur d’activite 
et de I’organisation sur la cooperation audit interne/audit externe. 

Cette theorie etudie pourquoi il existe, a cote du marche, des modes alterna- 
tifs de coordination des activites des agents economiques, teUes que les orga- 
nisations et plus specifiquement I’entreprise. 11 existe un cout (de transaction) 
a recourir au marche. Plusieurs facteurs sont a I’origine des couts de 
transaction : d’une part, humains (opportunisme dans les transactions, nature 
de I’information, rationalite limitee) et, d’autre part, lies a I’environnement 
de I’entreprise (incertitude/ specificite des actifs^, frequence des transac- 

1. L’ incertitude renvoie a la survenance d’aleas lies aux transactions. 

2. Un actif, materiel ou humain, est specifique quand une transaction requiert un investis- 
sement durable et que celui-ci est peu (ou non) redeployable sur une autre transaction. 
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tions). L’entreprise existe, car elle permet de reduire les couts de transaction : 
un contrat unit plusieurs personnes pour effectuer des taches sans recourir au 
marche et done au prix. 

Morill et Morill (2003), se fondant sur la theorie des couts de transaction, 
demontrent que les auditeurs internes sont davantage impMques dans des 
audits legaux qui exigent une importante connaissance specifique. L’investis- 
sement specifique represente un determinant plus important que I’incerti- 
tude comportementale, pour expliquer I’engagement des auditeurs internes 
dans I’audit statutaire. 


En pratique 

Dans une entreprise industrielle tres internationalisee et tres diversifiee, ou 
operant dans un secteur d'activite complexe (exploration petroliere, etc.), 
les rapports des missions d'audit interne apportent une connaissance pre- 
cieuse des activites operationnelles aux auditeurs externes, ce qui les aide 
d comprendre I'activite et d mieux evaluer les risques. 


On pent se demander dans quelle mesure I’anciennete de la relation de 
I’auditeur externe avec I’entreprise ne modere pas I’association entre I’inves- 
tissement specifique et la cooperation auditeur interne/auditeur externe. 


Un audit interne de qualite 

La norme ISA 610 distingue la qualite de la fonction d’audit interne de ceUe 
des travaux de I’audit interne. Nous choisissons volontairement le concept 
« qualite de I’audit interne », qui englobe les deux dimensions. 

L’lfAcl (2002) affirme que la cooperation audit interne/audit externe 
depend de « I’existence d’un service d’audit interne competent, indepen- 
dant, disposant de moyens adaptes a sa mission, respectueux des normes pour 
la pratique professionnelle de I’audit interne et a meme d’apprehender les 
techniques, les methodes et la terminologie des auditeurs externes ». 

De nombreux auteurs, pour la plupart anglo-saxons, ont mis en evidence 
que le degre de confiance des auditeurs externes dans le travail de I’auditeur 
interne et leur niveau d’interaction dependent de la qualite de I’audit interne 
(Haron et al, 2004 ; Felix et ah, 2001). Le niveau d’objectivite et d’indepen- 
dance, le niveau de competence et la performance des auditeurs internes 
constituent des elements determinants (Krishnamoorthy, 2002). 11 apparait 
que ces trois composantes de la qualite sont liees entre eUes. 
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Zain et al. (2006) indiquent une association positive entre la taiUe du depar- 
tement d’audit interne et le niveau d’experience en audit des personnes du 
departement, d’une part, et la contribution de I’audit interne a I’audit 
externe, d’ autre part. Les auteurs ne precisent pas si le niveau d’experience 
en audit des auditeurs internes est en audit interne ou en audit externe. 

La nature de la relation entre les dirigeants et la fonction d’audit interne pent 
compromettre I’objectivite de I’audit interne et porter prejudice a son 
independance. Si Ton se refere a la theorie de I’agence, les dirigeants peuvent 
inciter les auditeurs internes a ne pas mettre en lumiere d’eventuels dysfonc- 
tionnements traduisant leur incompetence ou leurs pratiques frauduleuses. 
Plumlee (1985), Harrell et al. (1989) et Al-Twaijry et al. (2003) confirment 
I’existence de menaces a I’independance de I’audit interne. 


En pratique 

Dans certains pays et dans certaines entreprises, les auditeurs internes rap- 
portent uniquement aux managers, ont un champ d'activite limite, une liberte 
d'investigation reduite et entreprennent parfois des activites eloignees de 
I'audit. Harrell etal. (1989) avancentque les auditeurs membres de I'llA sent 
plus susceptibles de resister aux diverses pressions que les autres. 


Le niveau d’autorite devant lequel les auditeurs internes sont responsables est 
le plus important des criteres affectant le niveau d’independance et d’objecti- 
vite des auditeurs internes. Et seul un service d’audit interne independant est 
per^u comme performant (Clark et al., 1981). 

Les opportunites de carriere ofFertes par I’entreprise constituent un autre fac- 
teur a prendre en compte. Si eUes sont susceptibles d’accroitre la motivation 
et la performance de I’audit interne (Albrecht et al., 1988 ; Ridley et Cham- 
bers, 1998), elles peuvent egalement porter atteinte a I’objectivite des audi- 
teurs en les rendant plus reticents a s’opposer a un audite qui pourrait etre 
leur futur superieur hierarchique (Goodwin etYeo, 2001). 

Un dilemme comparable existe lorsque les auditeurs assument des functions 
de conseil. Le fait que I’auditeur interne soit a la fois partie prenante au pro- 
cessus de gouvernance de I’entreprise et evaluateur de ce meme processus 
presente un danger. Plumlee (1985) montre que le fait pour un auditeur 
interne d’avoir participe a la conception d’un systeme de controle interne 
pent influencer ses jugements ulterieurs sur la quaMte de ce dispositif. 
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Bien que le role de conseil affecte I’objectivite perdue de I’auditeur interne, 
eUe n’a qu’un effet limite sur la phase de planification de I’audit externe. On 
observe une augmentation du nombre d’heures de travail budgetees, seule- 
ment si I’auditeur interne est susceptible de recevoir une prime de motiva- 
tion (Dezoort et al., 2001). 

Felix et al. (2001) indiquent que la confiance des auditeurs externes dans les 
travaux de I’audit interne est influencee par leur perception de la qualite de la 
fonction d’ audit interne, ainsi que, en function du niveau de risque inhe- 
rent\ la disponibiUte des auditeurs internes et I’etendue de la coordination 
entre auditeurs externes et internes. 

Mais, si Ton se refere toujours a la theorie de I’agence, en decidant d’impli- 
quer fortement les auditeurs internes dans I’audit externe, les dirigeants peu- 
vent aussi chercher a proteger leurs propres interets au lieu de servir ceux de 
leurs mandants. En effet, ils peuvent souhaiter empecher les auditeurs inter- 
nes de conduire leurs activites habitueUes, s’il existe une probabiUte que des 
preuves de leur incompetence ou de leur inefficience soient decouvertes. A 
leur tour, les auditeurs internes peuvent ne pas se satisfaire de leur role de 
subordonnes de I’auditeur statutaire et devenir moins performants (Adams, 
1994). Le tableau ci-apres recapitule les principaux criteres permettant de 
porter un jugement sur les trois dimensions deja citees de la qualite de I’audit 
interne : competence, performance, objectivite et independance. 

Tableau n” 3 - La qualite de I’audit interne (adapte de Krishnamoorthy, 2002) 


Qualite de I’audit interne 

Competence 

Performance 

Objectivite et independance 

Niveau d’experience profes- 
sionneile 

Dipiomes et certifications 
professionneiles 
Affiliation professionnelie 
Taiile du departement 
d’audit interne 

Quantite des documents de 
travaii et des rapports 
Qualite des documents de 
travaii et des rapports 
Champ d’activite de I’audit 
interne 

Rattachement au plus haut 
niveau 

Absence de confiits d’inte- 
rets 

Absence de primes de moti- 
vation 


1. Selon la norme ISA 200, le risque inherent correspond a la possibilite qu’une assertion 
comporte une anomalie qui pourrait etre significative individuellement ou cumulee 
avec d’autres anomalies, nonobstant les controles existants. II s’agit d’un risque propre 
a Tentite, independamment de I’audit des etats financiers. 
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La qualite et plus precisement I’independance de I’audit interne, pent etre 
renforcee lorsque le departement d’ audit interne dispose dans I’entreprise de 
I’interlocuteur privilegie qu’est le comite d’audit. 

['existence d'un comite d'audit efficace 

Le comite d’audit est defini par la loi Sarbanes- Oxley comme un corps 
consultatif et decisionnaire emanant du conseil d’administration. 11 est un 
autre acteur cle de la gouvernance, qui promeut la cooperation entre I’audit 
interne et I’audit externe par le biais de son activite de surveillance et de 
supervision, de deux facons : 

• en protegeant I’independance de I’audit interne et de I’audit externe ; 

• en adoptant une vision integree de la fonction d’audit et en vedlant a la 
coordination entre audit interne et audit externe. 

Sur le dernier point, la loi Sarbanes-Oxley, qui rend obligatoire le comite 
d’audit pour toutes les societes par actions et exige I’independance ^ de tons 
ses membres ainsi qu’une expertise en matiere comptable et financiere, 
I’investit de tout pouvoir de superviser le processus d’audit. Deja en 1999, les 
travaux de Braiotta, cites par Piot (2005), mettaient en evidence que, dans le 
contexte nord-americain, le comite d’audit devait efFectuer la « consolida- 
tion des programmes d’audit interne et externe pour eviter les redundances 
et minimiser I’efficience de la verification ». 

En ce qui concerne la protection de I’independance de I’auditeur externe, la 
loi Sarbanes-Oxley (Sections 301, 204, 301) et le reglement relatif au comite 
d’audit de la Securities Exchange Commission^, emis en avril 2003, pre- 
voient notamment que : 

• le comite d’audit est directement responsable de la nomination, de la 
remuneration et de la supervision des auditeurs de la societe et de la sur- 
veillance de leurs travaux (y compris la resolution de tout confiit entre la 
direction et les auditeurs a propos du reporting financier) ; 

• le comite d’audit (...) doit pre-approuver tout service fourni par I’audi- 
teur (autre que la certification) ; 

1. Selon ce texte, I’independance des membres du comite d’audit implique que les per- 
sonnes siegeant au comite d’audit ne sauraient : (i) recevoir de la societe une remune- 
ration au titre de services de conseil, consulting ou autres rendus a la societe ou (ii) etre 
des affilies de la societe emettrice ou d’une de ses fdiales. 

2. Rule lOA-3 de V Exchange Act : Standards Relating to Listed Companies Audit Committees, 
publiee le 10 avril 2003. 
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* I’auditeur externe doit informer le comite d’audit des traitements de 
I’information comptable qui ne respecteraient pas les principes compta- 
bles generalement reconnus et des echanges ecrits avec la direction. 

Quant a la protection de I’independance de I’auditeur interne, la Securities 
Exchange Commission, toujours dans son reglement relatif au comite 
d’audit (2003), stipule que les societes cotees aux Etats-Unis doivent disposer 
d’une fonction d’audit interne, placee sous la supervision du comite d’audit. 

Un comite d’audit efFicace, c’est-a-dire independant et expert en matiere 
comptable et financiere, est susceptible de renforcer le poids et I’efFicacite de 
I’audit interne (Braiotta, 1999 ;Verschoor, 1992). Pour cela, ce dernier doit 
rendre compte directement au comite d’audit, ce qui accroit son indepen- 
dance (Scarbrough et al., 1998). 


En pratique 

La tenue de reunions regulieres entre le comite d'oudit et les ouditeurs inter- 
nes constitue un important moyen d'omeliorer I'efficocite de I'audit interne 
(Verschoor, 1992 ; Scarbrough et al., 1998). En raison de lo nature sensi- 
ble des resultats de I'audit interne, les reunions doivent ideolement se 
derouler en I'obsence des dirigeonts (Kolbers, 1992 ; Broiotto, 1999). Le 
niveau d'interaction entre le comite d'oudit et lo fonction d'oudit interne est 
plus eleve (frequence plus importante des reunions « en prive »), lorsque le 
comite d'oudit se compose uniquement d'odministrateurs independents 
(Goodwin etYeo, 2001 ; Scarbrough etai, 1998). 


11 est egalement souhaitable que le comite d’audit soit implique dans la 
nomination et le congediement du responsable de I’audit interne (Scar- 
brough et al., 1998 ; McHugh et Raghunandan, 1994). La perception de ce 
role du comite d’audit devrait inciter les auditeurs a assumer leurs responsa- 
bihtes et communiquer leurs resultats objectivement, sans crainte de menaces 
de la part des managers. Scarbrough et al. (1998) ont mis au jour une associa- 
tion positive de I’acces prive du responsable de I’audit interne au comite 
d’audit avec I’imphcation de ce dernier dans la decision de congediement de 
I’auditeur interne, d’une part, et avec la frequence des reunions, d’autre part. 

L’independance des membres du comite est associee aux variables comme la 
frequence et la longueur des reunions, le caractere prive de ces dernieres et 
I’implication dans les decisions de nomination du responsable de I’audit 
interne. La proportion des membres du comite avec une experience en 
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comptabilite ou en finance est associee a la mesure dans laqueUe ils revoient 
le travail de I’audit interne (Goodwin, 2003 ; Raghunandan et a/., 2001). 

Quant a Zain et al. (2006), ils mettent en evidence que les caracteristiques du 
comite d’audit influencent revaluation par les auditeurs internes de leur 
contribution a I’audit externe. En particulier, il existe une association posi- 
tive entre I’appreciation par les auditeurs internes de leur contribution a 
I’audit externe et trois caracteristiques des comites d’audit : la proportion des 
membres independants du comite d’audit, le niveau de connaissance en 
comptabilite et en audit des membres du comite d’audit, et les revues par le 
comite d’audit des programmes d’audit interne, des budgets d’audit interne 
et de la coordination avec les auditeurs externes. 

Les travaux de recherche sont trop peu nombreux pour en tirer des conclu- 
sions definitives. Les resultats de I’etude de Goodwin (2003) laissent entre- 
voir que le pays (marche des capitaux developpe ou marche des capitaux non 
developpe) et le secteur (public ou prive) exercent une influence sur la rela- 
tion comite d’audit/audit interne, refletant les differences entre I’accent mis 
sur les questions de la gouvernance de I’entreprise et I’importance des comi- 
tes d’audit dans difierents pays et au sein des deux secteurs. 


Pour conclure... 

La cooperation audit interne/audit externe contribue d ameliorer le processus de 
gouvernance de I'entreprise, sous certoines conditions. 

Les dispositions legislatives issues de lo loi Sorbones-Oxley et les resultats des 
trovoux de recherche suggerent que les entreprises ont lo possibilite d'occroTtre 
I'etendue de lo cooperation audit interne/audit externe ofin de foire emerger un 
veritable portenoriot, en investissont dons lo quolite de I'audit interne, en menogeont 
du temps libre oux auditeurs internes et en disposont d'un comite d'oudit efficoce, 
qui focilite entre outres lo coordination entre auditeurs internes et externes. 

Si, dons certains cos, I'opplicotion des dispositions de lo loi Sorbones-Oxley o pu 
deteriorer lo collaboration entre auditeur interne et ouditeur externe, nous estimons 
que ce phenomene est tronsitoire. Lo professionnolisotion de I'audit interne et lo 
certification quolite des directions d'oudit interne, loquelle connoTt oujourd'hui un 
essor important, contribuent o renforcer lo credibilite et lo legitimite de lo fonction 
oux yeux des auditeurs externes et seront omenees d jouer un role important dans 
I'emergence d'une symetrie portenoriole ovec ces derniers. 


o 

@ 
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Chapitre 7 


Ethique et audit interne : 
la problematique du whistleblowing 

Par Christian Prat dit Hauret, 

Professeur des Universites, Universite Montesquieu 

Bordeaux V 


L a performance des organisations est plus que jamais au centre des pre- 
occupations en raison d’une concurrence mondiale exacerbee. L’une 
des composantes de cette performance reside dans le comportement ethique 
et responsable de ses differents acteurs. Or, a la fin du xx^ siecle, differents 
scandales financiers, lies notamment aux affaires Enron et Worldcom, ont 
eclabousse la reputation d’entreprises cotees et cree un climat de defiance. 
Ainsi, en juillet 2002, suite aux differents scandales que les Etats-Unis ont 
connus, le congres a adopte la loi Sarbanes-Oxley qui impose aux societes 
americaines ou etrangeres cotees dans ce pays, ainsi qu’a leurs filiales a 
I’etranger, de mettre en place un systeme permettant aux salaries de rappor- 
ter anonymement les fraudes et les malversations comptables et financieres 
dont ds auraient connaissance. Le whistleblowing — que Ton peut traduire par 
I’expression « dormer un coup de sifflet » et qui s’avere une pratique repan- 
due dans les entreprises anglo-saxonnes - designe done la possibilite pour les 
salaries de faire part a leur hierarchie ou a un comite interne des malversa- 
tions decouvertes au sein de leur organisation. 

Ces differents scandales evoques plus haut ont replace au centre des debats la 
dimension ethique des differents acteurs de Torganisation et son influence 
sur une gouvernance optimisee. Mercier (2000) cite Arrow : « Un controle 
d’ordre ethique est necessaire, les systemes juridiques et economiques n’inci- 
tant pas forcement les organisations a prendre en compte I’impact moral de 
leurs decisions. » 11 poursuit sa reflexion en notant « qu’il est dans I’interet 
des dirigeants de mieux prendre en compte le contenu ethique de leur orga- 
nisation dans le but de justifier leurs activites (en function de normes ethi- 
ques et de valeurs) et de se premunir contre d’eventueUes actions 
repressives ». 
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L’instauration du whistleblowing par la loi Sarbanes-Oxley pose la problemati- 
que de sa legitimite ethique et des modalites d’application et de controle, 
taches qui pourraient etre confiees au service d’audit interne des organisa- 
tions. L’lfAcl definit I’audit interne comme « une activite independante qui 
donne a une organisation une assurance sur le degre de maitrise de ses opera- 
tions, lui apporte ses conseils pour les ameliorer et contribue a creer de la 
valeur ajoutee ». Depuis une vingtaine d’annees, les entreprises se sont dotees 
de cette nouvelle function qui contribue a ameliorer la performance des 
organisations. La mission des auditeurs internes consiste ainsi a mettre en 
place et a verifier la correcte application des procedures de controle interne 
defmies comme les differents dispositifs instaures par une societe pour detec- 
tor, en matiere de comptes, de remuneration, de strategie, d’investissement, 
ou bien encore de risques, les fraudes, les couvertures insufFisantes, la fai- 
blesse des performances, les dysfonctionnements et le non-respect de la 
reglementation. 

Le COSO, lui, definit le controle interne comme I’ensemble des dispositifs 
mis en oeuvre par le conseil d’ administration, les dirigeants, le personnel 
d’une organisation et permettant de donner une assurance raisonnable quant 
a I’atteinte des objectifs suivants : 

• la realisation et I’optimisation des operations ; 

• la fiabilite des informations financieres ; 

• la conformite aux lois et aux reglements en vigueur. 

L’audit interne, a I’origine garant de la securite (protection des actifs) a pro- 
gressivement elargi son champ a la garantie de la permanence, de I’efficacite 
et de I’efFicience du controle de la mise en oeuvre de la strategie, de I’applica- 
tion des politiques, en vue d’atteindre les objectifs vises (Bouquin, 2000). 

Indeniablement, la dimension ethique fait partie integrante de la fonction 
d’auditeur interne. Selon I’Encyclopedie Larousse, I’ethique est la mesure de 
la morale. L’origine grecque se trouve dans ethicos et dans Mws, « moeurs », 
« caractere ». La definition des termes de morale, d’ethique ou de deontolo- 
gie est complexe. Canto-Sperber et Ogien (2004) les defmissent distincte- 
ment ainsi : « La morale designe le plus souvent I’heritage commun des 
valeurs universeUes qui s’appliquent aux actions des hommes ; par contraste, 
le terme d’ethique est souvent employe pour designer le domaine plus res- 
treint des actions hees a la vie humaine . . . Quant au terme deontologie, qui 
vient du grec deonta, « les devoirs », ce qui est du ou requis, il designe ce qu’il 
convient de faire dans une situation sociale donnee, en particuHer I’ensemble 
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des devoirs lies a I’exercice d’une profession. » Le point de depart de la 
reflexion ethique est la liberte de Thomme et sa capacite a anticiper les 
consequences de ses actes. L’ethique renvoie aux concepts suivants : la cons- 
cience de soi, la volonte independante, I’imagination et la conscience du 
bien ou du mal. L’ethique constitue avant tout une affaire de choix personnel 
et donne un sens a tout comportement. L’ethique est I’expression d’un 
besoin ou d’une quete de sens definie par Ricoeur (1990) comme « le desir 
d’une vie accomplie, qui fonde I’estime de soi-meme, avec et pour les autres, 
dans le cadre d’institutions justes ». Ricoeur associe trois composantes a la 
problematique ethique : 

• la composante subjective, correspondant a la vie bonne pour soi ; 

• la composante interpersonneUe, concernant le rapport a autrui ; 

• la composante societale renvoyant aux institutions. 

II souligne qu’il revient a I’idee de Vethos d’embrasser et d’articuler dans une 
unique formule, le souci de soi, le souci d’ autrui et le souci de I’institution. 

Le whistleblowing, nouvel instrument utilise outre-Atlantique, fait debat en 
France. Est-il necessaire pour attirer I’attention sur des comportements frau- 
duleux dans les organisations ou traduit-il le retour de comportements de 
delation au sein des organisations ? Comment peut-il s’appliquer ? Dans quel 
perimetre ? Qui controlera cette pratique ? Telles sont les differentes ques- 
tions qui seront explorees dans le cadre de cette contribution. 


Un dilemme ethique pour les auditeurs internes 
Nature du whistleblowing et legitimite ethique 

La problematique du whistleblowing a emerge de fagon pregnante en ce debut 
du XXL siecle a la suite des scandales financiers cites plus haut. Reagissant a 
ces evenements, le legislateur americain a done adopte la loi Sarbanes- 
Oxley, qui exige des societes cotees aux Etats-Unis la mise en place de pro- 
cedures et de systemes permettant aux salaries de toute entreprise de rappor- 
ter au comite d’audit les fraudes financieres decouvertes au sein de leur 
entreprise. Les entreprises frangaises sont indirectement concernees dans la 
mesure ou elles possedent des filiales etrangeres ou si la societe mere est cotee 
sur les marches boursiers americains. 

Sur le principe, le whistleblowing pose un veritable cas de conscience 
(De Kerorguen, 2005). Get auteur se pose la question de savoir s’il presente 


1 88 La contribution de I'audit interne ou processus de gouvernonce de I'entreprise 


un risque de reglement de compte sous couvert d’ethique ou bien une rup- 
ture de silence salutaire. La question du perimetre de I’exercice de ce droit 
d’alerte est entiere. Sur quels faits le droit d’alerte doit-il porter et dans quel- 
les conditions peut-d etre exerce ? 

Les premiers travaux menes sur la nature meme du whistleblowing semblent 
mettre en exergue deux visions radicalement opposees : une version « soft » 
et une autre beaucoup plus dure. 

La premiere version est cede du cercle d’ethique des affaires (2005). 11 
s’agit la d’une « alerte ethique » en tant qu’outil, permettant aux salaries 
de participer a la fois a la prevention des risques generes par I’entreprise et 
a la promotion de ses valeurs. Pour le groupe de travail cree par le cercle 
d’ethique des affaires, « s’il est mis en place en lien avec les salaries ou leurs 
representants et qu’il est congu comme un canal nouveau de liberte d’ expression et 
non pas comme un mecanisme de controle des salaries les uns par rapport aux 
autres, alors le whistleblowing a la frangaise peut se reveler un outil juste et effi- 
cace pour V amelioration des comportements individuels et collectifs dans 
I’entreprise. » L’ alerte ethique serait alors un nouveau canal de liberte 
d’expression mis a disposition des salaries et constituerait ainsi un instru- 
ment supplementaire permettant a ceux-ci d’exercer differemment un 
droit qu’ils possedent deja. 

Toujours dans sa version « soft », le whistleblowing s’inscrit dans le courant 
theorique de la vertu. Ainsi, la moralite s’inscrit dans la vie individuelle 
(Canto-Sperber et Ogien, 2004) et pent s’analyser dans le prolongement 
d’Aristote, pour qui « les principes moraux ne peuvent pas etre integralement 
explicites de maniere rationnelle et evalues abstraitement, puisque ce sont les prati- 
ques concretes qui leur conjerent un sens et les inscrivent dans la vie sociale ; (que) 
lafaculte morale (phronesisj est lafaculte qui decide de I’applicabilite a certains cas 
particuliers ; (que) les jugements moraux ne sont pas des produits de la raison theo- 
rique... V utilisation du langage ethique depend a la fois d’une forme de vie parta- 
gee et des pratiques d’une communaute ou sont definis les termes de notre 
experience ethique. » 

Dans sa version dure en revanche, le whistleblowing serait con^u comme un 
instrument de controle faisant de chaque salarie I’instrument du pouvoir de 
police du chef d’entreprise. 
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En pratique 

On peut ainsi se demander si le whistleblowing aurait fonctionne dans une 
affaire telle que Parmalat, ou, dans le but de rassurer les actionnaires et les 
creanciers, la direction annonpa I'existence d'une « cagnotte » de 
3,95 milliards d'euros deposes dons une ogence de la Bank of America 
oux Ties Caimans et presenta un document attestant la realite du montant 
indique. Or, la Bank of America affirma que le document presente par Par- 
malat pour prouver I'existence de cette somme etoit un faux. Ainsi, comme 
dons les scondoles financiers Enron, Tyco, Worldcom ou Ahold, I'endette- 
ment de Parmalat a ete sciemment dissimule ou moyen de systemes fraudu- 
leux d base de malversations comptables, de faux bilons, de documents 
truques, de benefices fictifs, de pyramides complexes de societes off shore 
emboTtees les unes dans les outres de fapon d rendre impossible la trapobi- 
lite de I'argent et I'onolyse des comptes (Ramonet, 2004). 


La pratique du whistleblowing renvoie a I’ethique comme rapport a autrui. 
Selon Courrent (2002), « le probleme fondamental qui se pose a I’acteur est 
centre sur la maniere dont il tente de concUier consciemment la recherche de 
ses interets personnels et le respect de celui des autres. La quete de la moralite 
dans Taction se heurte, en effet, au caractere limite des moyens dont il dis- 
pose, ce qui Tempeche de traiter de la meme facon toutes les parties concer- 
nees, directement ou indirectement, par sa decision ». 


Pour un usage circonstancie et limite des situations 
de whistleblowing 

Le whistleblowing « a la fran^aise » 

Tout d’abord, la legitimite de la mise en place du whistleblowing ne peut etre 
transposee en Tetat dans le contexte francais. Le whistleblowing « a la 
franpaise » existe deja sous une autre forme, dans la mesure ou il est suscepti- 
ble d’etre exerce par les auditeurs externes legaux. L’article 34 du decret-loi 
du 8 aout 1935, repris ulterieurement dans la loi du 24 juiUet 1966, imposa 
aux commissaires aux comptes de reveler au procureur de la Republique 
tout fait debctueux dont bs auraient eu connaissance au cours de leur mis- 
sion. Cette obligation fut pour partie une reponse juridique a differents scan- 
dales financiers tels que la faillite de la Compagnie Universelle du canal 
interoceanique de Panama, Tescroquerie de petits porteurs lors de Tennssion 
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d’ obligations dans 1’ affaire Fonciere/Stavisky, Faffaire de la Gazette du 
Franc/Hanau ou la faillite de la banque d’affaires Oustric. L’obligation de 
reveler tout fait delictueux donna une dimension nouvelle a la fonction de 
commissaire aux comptes (Chaput, 1999). Selon ce dernier, « cette obliga- 
tion fut controversee en ce qu’eUe depassait le simple mandat donne par les 
actionnaires. Ainsi les commissaires aux comptes voyaient s’imposer la recon- 
naissance de leur objectivite, puisque leur intervention n’etait plus a usage 
interne, ni meme limitee a des interets prives. 11s devenaient des instruments 
de defense de I’interet general et du respect de I’ordre public ». Une question 
qui se pose est done de savoir s’il est necessaire que la possibilite de reveler les 
faits delictueux soit offerte aux salaries alors que la loi confie deja cette tache 
aux auditeurs externes depuis plus de soixante-dix ans. 

De Kerorguen (2005) souligne que, du cote syndical, Francois Fayol, secre- 
taire general de CFDT-Cadres est resolument oppose a I’esprit de delation 
qui existe dans le whistleblowing a I’anglo-saxonne et iUustre ses propos par le 
cas du comite d’entreprise Kingfisher qui a rejete ces methodes. 11 reprend 
les propos de Patrick Jampy delegue CFDT chez Shell France pour qui, « il 
est hors de question de mettre en place une police interne. Le lanceur 
d’alerte est la pour aider les cadres a se tirer d’un mauvais pas quand ils con- 
naissent un dilemme ethique. Nous ne voulons pas de boites aux lettres ano- 
nymes ou de numero vert a travers lesquels on pent denoncer a tout va. Le 
signalement d’un fait delictueux ne doit pas etre anonyme, mais la confiden- 
tiahte doit etre assuree. Le mode de traitement doit etre correctement 
etabh ». 


Que dit la CNIL ? 

Selon la Commission Nationale de I’lnformatique et des Libertes (CNIL), 
les dispositifs d’alerte professionneUe tels que le whistleblowing ne sont ni pre- 
vus, ni interdits par le Code du travail. EUe recommande que ces dispositifs 
aient un caractere complementaire aux dispositifs existants, un champ res- 
treint et un usage facultatif.Tout d’abord, eUe recommande que les dispositifs 
d’alerte soient conq:us comme uniquement complementaires aux autres 
modes d’alerte dans I’entreprise, comme ceux des representants du personnel 
dans le cas du lancement de la procedure d’alerte en cas de faits de nature a 
compromettre la continuite de 1’ exploitation ou ceux dont dispose le com- 
missaire aux comptes, qui peut egalement lancer la procedure d’alerte ou 
reveler au procureur de la Republique tout delit. De plus, toujours selon la 
CNIL, le dispositif d’alerte doit etre hmite dans le champ. La legitimite de ce 
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droit d’alerte semble acquise lorsque les dispositifs d’alerte sont mis en oeuvre 
a la seule fin de repondre a une obligation legislative on reglementaire de 
droit francais visant a I’etablissement de procedures de controle interne dans 
des domaines precedemment definis. En revanche, pour la CNIL, « il ne 
semble pas que le simple fait de I’existence d’une disposition legale etrangere 
en vertu de laquelle un dispositif d’alerte serait mis en place permette de 
legitimer un traitement de donnees personneUes, notamment dans le cas des 
dispositions de la section 301 de la loi Sarbanes-Oxley, qui prevoit que les 
employes d’une entreprise doivent pouvoir faire etat au comite d’ audit de 
leurs inquietudes quant a une comptabilite ou a un audit douteux en etant 
assures de beneficier d’une garantie de confidentiaHte et d’anonymat ». 

En pratique 

La CNIL a refuse en 2005 d'autoriser deux projets de « lignes ethiques » 
permettant oux salaries de signaler des comportements fautifs imputables d 
leurs collegues de travail. Elle a emis une reserve de principe pour les rai- 
sons suivantes : 

- risque de mise en place d'un systeme organise de delation profession- 
nelle du fait de I'ononymat de la personne denonciotrice ; 

- disproportion entre les dispositifs et les objectifs poursuivis ; 

- deloyaute de la collecte et du traitement des donnees pour la personne 
n'oyant pas les moyens de s'opposer et de se defendre. 


Dans un communique du 8 mars 2007, la CNIL a rappele que le champ du 
dispositif d’alerte est aujourd’hui defini comme celui du domaine compta- 
ble, du controle des comptes, du controle bancaire et de la lutte contre la 
corruption (des alertes pouvant etre exceptionnellement recueihies et trai- 
tees si elles s’averent concerner I’interet vital de I’entreprise ou I’integrite 
physique ou morale des salaries) . 


Des precautions a prendre 

Selon Broussal (2005), « certaines precautions sont a prendre pour permettre 
le fonctionnement des systemes d’alerte dans les entreprises fran^aises et 
notamment : 

• la mise en place du systeme d’alerte par accord collectif ou engagement 
unilateral, comme le reglement interieur ; 
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• r organisation, avant sa mise en place, de sessions de formation ouvertes 
aux salaries sur le fonctionnement du systeme ; 

• la limitation du domaine d’application du systeme au contenu prevu par 
la loi Sarbanes-Oxley a savoir les seules fraudes financieres et comptables, 
pour eviter un systeme disproportionne par rapport a I’objectif poursuivi 
et I’accompagner par la mise en place d’un comite d’ethique capable de 
verifier la veracite de la fraude aUeguee et d’assurer la confidentialite ; 

• le caractere facultatif de I’utilisation du systeme, ce dernier etant un canal 
supplementaire d’exercice de la liberte d’expression des salaries, laissant en 
tout etat de cause toute latitude aux representants du personnel ; 

• le recueil des informations dans le cadre de I’alerte qui reposent sur des 
faits objectifs sans appreciation subjective, en recommandant de ne pas 
devoiler le nom du presume coupable des le declenchement de I’alerte ; 

• la garantie de la confidentialite et le bannissement de I’anonymat afm 
d’eviter les risques de derives et de denonciations calomnieuses ; 

• la possibilite pour le salarie mis en cause de se defendre, des que son nom 
est promulgue ; 

• la protection des salaries declencheurs de I’alerte, etendue a la protection 
legale en matiere de harcelement moral ou sexuel ou de discrimination. 

Le whistleblowing ne semble possible que s’il est guide par la moraUte de facte. 
Courrent (2002) note que « la notion de respect constitue le motif moral de 
la decision, qui pousse a traiter les autres comme des fins en soi et non 
comme des simples moyens : pour etre morale, faction doit etre deliberee et 
desinteressee. Deliberee, car le respect d’autrui doit etre un — sinon le — motif 
de la decision ; desinteressee, car il ne doit pas etre le moyen conscient de 
poursuivre son interet personnel ». 

En outre, rien n’empeche que ce droit d’alerte ethique soit complete par une 
information sur les pratiques ethiques vertueuses identifiees dans I’entreprise. 


Une gestion maitrisee des situations par les auditeurs internes 
Le controle des situations d^alerte ethique 

Si f on accepte que le whistleblowing soit possible pour les salaries de f entre- 
prise, on pent se demander qui sera charge de fencadrer, d’analyser les 
situations et eventuellement d’engager des actions. Pour qu’U soit legitime, il 
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faut que son controle soit fiable et efficace. II est vital, pour la reussite du sys- 
teme et eviter tout dommage collateral sur la culture organisationneUe de 
I’entreprise, de confier la gestion des alertes a une organisation specifique. 


Implication d'une equips specialises 

Le controle du whistleblowing pourrait etre realise par une equipe specialisee 
du service d’audit interne. II est capital que le recueil et le traitement des 
alertes professionneUes soient confies a une organisation specifique mise en 
place au sein de I’entreprise pour traiter ces questions. Cette equipe serait 
chargee de traiter les informations req:ues tout en protegeant I’identite des 
salaries concernes. Cette cellule specialisee de I’audit interne aurait pour 
mission le traitement des alertes, notamment anonymes. Comme le note la 
CNIL, « la possibilite de realiser une alerte anonyme nepeut que renforcer le risque de 
denonciation calomnieuse. A I’inverse, V identification de I’emetteur de V alerte ne peut 
que contribuer a responsabiliser les utilisateurs du dispositif. L’ alerte identifiee presente 
plusieurs avantages et permet d’ eviter les derapages vers la delation et la denonciation 
calomnieuse, d’ organiser la protection de V auteur de V alerte contre d’eventuelles repre- 
sailles et d’assurer un meilleur traitement de I’alerte en ouvrant la possibilite de 
demander a son auteur des precisions complementaires. » 

Les auditeurs internes pourraient egalement assurer une information claire et 
complete sur le dispositif d’alerte en prevenant notamment les salaries que 
I’utilisation abusive du dispositif peut exposer son auteur a des sanctions dis- 
ciplinaires ainsi qu’a des poursuites judiciaires, mais qu’a I’inverse, I’utilisa- 
tion de bonne foi du dispositif ne peut exposer son auteur a des sanctions. Us 
mettront notamment en place et assureront la securite et la confidentialite 
des moyens informatises ou non de coUecte, de traitement et de conservation 
des donnees. 

Tout I’enjeu ici consiste a faire jouer un levier ethique (Pelissier-Tanon, 
2001) et a construire faction des auditeurs internes sur le principe de la res- 
ponsabUite. L’ analyse de la responsabilite repose sur la conception aristoteli- 
cienne de la prudence. Selon Pelissier-Tanon (2001), la prudence constitue 
une vertu de faction, faite notamment de prevoyance, par fexercice de 
laqueUe « f homme prudent est capable de deliberer correctement sur ce qui 
est bon et avantageux pour lui-meme » {Ethique a Nicomaque), ce qui est le 
propre des gens d’experience : si personne ne supportait les consequences de 
ses actes, en bref, sans responsabilite imputee ou assumee, personne ne serait 
incite a tirer les legons de son experience ni a developper sa prudence. 
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Les diligences a reaUser par les auditeurs internes pourront etre formalisees 
dans le cadre d’un code de deontologie afin de delimiter le champ d’inter- 
vention et les actions a conduire. La deontologie renvoie a un ensemble de 
regies dont se dote une profession (ou une partie d’une profession) an travers 
d’une organisation professionneUe qui devient I’instance d’elaboration, de 
nnse en oeuvre, de surveillance et d’application des regies (Isaac, 1996). 


Une mission complementaire 

En quelque sorte, la mission des auditeurs internes dans le cadre de la gestion 
du whistleblowing completera la mission du commissaire aux comptes de reve- 
ler tout fait delictueux decouvert au cours de sa mission. Comme nous 
I’avons explique plus haut, le Code de commerce fait I’obligation au com- 
nnssaire aux comptes de reveler au procureur de la Republique les faits debc- 
tueux dont il a connaissance au cours de sa nnssion, sous peine de sanctions 
penales et sans contradiction avec fobligation de secret professionnel qui 
pese sur lui. L’obligation de revelation s’exerce sur un domaine etendu 
(Guyon, 1998). Elle porte non seulement sur les irregularites comptables, 
mais egalement juridiques, affectant I’organisation ou le fonctionnement de 
la societe : defaut de reunion dans les delais de I’assemblee statuant sur les 
comptes annuels, composition irreguliere du conseil d’ administration ou de 
direction, violation du principe d’egaHte des actionnaires, modifications des 
statuts dans des conditions particulieres, non-depot du bilan dans les quinze 
jours de la cessation, perte du capital. 

En accord avec le garde des Sceaux, le conseil national de la compagnie 
nationale des commissaires aux comptes a adopte une norme professionneUe 
relative a la revelation des faits delictueux qui precise qu’en prenant en 
compte les consequences d’une infraction et le but poursuivi, le comnnssaire 
aux comptes doit reveler les faits qui sont a la fois significatifs et deliberes. Les 
infractions au droit penal financier et comptable constituent le coeur des 
infractions que le commissaire aux comptes peut rencontrer dans I’exercice 
de ses fonctions (Prat dit Hauret, 2004) . 
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En pratique 

Dans le cadre de differentes affaires, les juges ant estime qu'auraient dO 
faire I'abjet d'une revelation au procureur de la republique : le defaut 
d'etablissement des comptes annuels, I'inexactitude des bilans, la majora- 
tion frauduleuse d'un apport en nature, le defaut de provisions et I'exis- 
tence de manipulations comptables tout d fait anormales sur les titres de 
participation provoquant des plus values fictives au sein d'un groupe de 
societes, le defaut de tenue d'une comptabilite et de redaction du rapport 
de gestion par les dirigeants, I'entrave a la nomination du commissaire 
aux comptes. Tabus de biens sociaux, la complicity du commissaire aux 
comptes dans la preparation d'un bilan inexact. 


Mfse en place d'un guide des bonnes pratiques ethiques 

Si le whistleblowing est concu comme un outil juste et efficace pour I’amelio- 
ration des comportements individuels et collectifs dans I’entreprise, le cercle 
d’ethique des affaires (2005) propose une conception plus large de la notion 
d’alerte ethique, en ecartant le principe de I’iUegalite pour se fonder sur 
I’unique critere du risque pour I’entreprise et precise que « sont ainsi visees 
les irregularites ou mauvais comportements professionnels que les salaries 
constatent dans fentreprise et dont ils estiment qu’ils font courir un risque 
serieux sur les plans financier, juridique, technique, sanitaire, securitaire ou 
quant a sa reputation. La fmalite de I’alerte ethique est centree sur la preser- 
vation de I’entreprise et I’amelioration de son comportement et non pas sur 
I’eventuel effet dissuasif d’un mecanisme d’autocontrole des salaries par les 
salaries ». 

Cette pratique peut ainsi deboucher sur la formalisation des bonnes pratiques 
dans un guide des bonnes conduites. Mercier (2000) souligne qu’a partir de 
1990, I’adoption des Federal Guidelines for Sentencing Organizations a 
incite les entreprises a une autoregulation interne des comportements en 
recommandant I’adoption d’outils de gestion des risques ethiques et note 
que les entreprises ont mis en place les actions suivantes : 

• « I’etablissement de principes et procedures devant guider les comporte- 
ments ethiques ; 

• la nomination d’un ou de plusieurs responsables de I’ethique dans I’orga- 
nisation pour veiller a I’application de ces principes et procedures ; 
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* Tattention portee a ce que ces responsables soient reconnus pour leur 
integrite (importance de I’exemplarite) ; 

* la communication de maniere efEcace de ces principes et procedures a 
tous les employes (en organisant des formations, en distribuant des publi- 
cations expliquant le sens et I’etendue d’application de ce qui est 
demande) ; 

* la mise en place de mecanisme de controle afin d’inciter les membres de 
I’organisation a se conformer a ces principes ; 

* la mise en place d’un systeme de sanctions en cas de violation de ces regies 
et procedures ; 

* la prise de dispositions pour eviter toute recidive, en cas de detection d’un 
debt. » 


Pour conclure... 

Si le whistleblowing devait etre mis en place, il devrait faire I'objet d'un consensus 
entre les differentes parties prenantes de I'organisation sur son perimetre, les 
conditions de realisation du droit d'olerte et le cadre ethique dons lequel il sera 
exerce. 
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Fusions-acquisitions : 
le role de I'auditeur interne 

Par Christine Pochet, 

Professeur a I'Institut d'Administration des Entreprises de 
I'Universite Paris I Pantheon-Sorbonne 

ET Alessandro Reitelli, 

Directeur general adjoint d'une filiale du groupe CFAO 

(filiale de PPR) 


P our croitre, une entreprise a le choix entre deux strategies. Ainsi, la 
croissance interne, ou organique, passe par la creation de nouveUes 
capacites de production, le developpement de nouveaux services ou la 
conquete de nouveaux marches. La croissance externe, eUe, est alimentee par 
des acquisitions de tout ou partie d’entreprises existantes. On parle de 
fusions-acquisitions lorsque la croissance externe s’accompagne de la prise de 
controle d’une entreprise. Depuis longtemps, les entreprises ont identifie les 
avantages de ce mode de croissance, notamment la rapidite avec laqueUe il 
permet d’acquerir une position de leader dans un secteur. L’ observation des 
fusions-acquisitions sur longue periode revele toutefois que ces operations 
n’obeissent pas a un « trend » de croissance regulier, mais se deroulent plutot 
par vagues successives. 

Ainsi, apres une pause de quelques annees consecutive a I’eclatement de la 
bulk Internet, le marche des fusions-acquisitions connait depuis 2005 un 
regain d’activite spectaculaire. Le volume des operations de ce type a atteint 
en 2006 au niveau mondial le montant de 3 610 milliards de dollars, depas- 
sant ainsi le precedent record etabb en 2000 (3 332 nnUiards de dollars). 
Rien qu’en Europe, on a enregistre une progression annuelle de 42 %, pour 
un montant de 1 363 nnUiards d’euros. Beaucoup de ces operations sont 
transffontaUeres. 


1 98 La contribution de I'audit interne ou processus de gouvernonce de I'entreprise 


Si les fusions-acquisitions ont la faveur des dirigeants d’entreprise, c’est parce 
qu’elles recelent un potentiel important d’amelioration des performances. 
Pourtant, de ce potentiel a sa concretisation sous forme de creation de valeur 
pour les actionnaires, la distance est paidbis tres grande et les etudes empiri- 
ques effectuees pour mesurer I’enrichissement des actionnaires post-acquisi- 
tion laissent dubitatif. Plutot qu’a une veritable creation de valeur, il semble 
que Ton assiste a des transferts de richesses, notamment des actionnaires de 
I’entreprise acquereuse vers ceux de la cible. 

En effet, ce qui caracterise d’abord les operations de regroupement d’entre- 
prises, c’est leur extreme complexite et I’importance des risques qui leur sont 
associes. C’est la raison pour laqueUe ces operations mobilisent, pour leur 
mise en oeuvre, une pluraHte d’experts : banques conseils, avocats, cabinets 
d’audit, agences de communication. En interne, eUes reposent sur des equi- 
pes multifonctionneUes. Une etude internationale recente (Selim et al, 
2003) indique que les auditeurs internes sont associes au processus d’acquisi- 
tion, leur degre d’implication etant variable selon les etapes de ce processus. 
11 semble toutefois que leur mobilisation dans I’entreprise acquereuse sous- 
exploite leurs competences, tant pour la capacite a evaluer la maitrise des 
processus de controle interne et de management des risques que sur le plan 
de leur possible contribution a une gouvernance d’entreprise de quaUte. 

Quel role les auditeurs internes ont-ils a jouer dans les operations de fusions- 
acquisitions ? C’est a cette question que se propose de repondre ce chapitre. 
Pour cela, nous mettrons tout d’abord en evidence la dualite de ces opera- 
tions. Sous-tendues par une pluralite de motifs qui constituent autant 
d’opportunites d’amelioration de la performance, les operations de regrou- 
pement d’entreprise presentent egalement des risques eleves pour les action- 
naires. EUes sont en particulier risquees, parce que les conflits d’interets entre 
actionnaires et dirigeants peuvent s’y averer importants. 

Nous aborderons dans la seconde partie de cette contribution I’examen du 
role de I’auditeur interne dans ces operations. Suivant une logique chronolo- 
gique, nous envisagerons successivement leurs eventuels apports en amont de 
la transaction, dans les phases d’analyse strategique et d’evaluation puis, en 
aval, aux stades de I’integration et de I’audit post-acquisition. Nous verrons 
alors que I’auditeur interne constitue un maiUon important de la chaine de 
controle des fusions-acquisitions et qu’U a vocation a interagir, a ce titre, avec 
le comite d’audit, les auditeurs legaux et le management de I’entreprise 
acquereuse. Les evolutions legislatives et reglementaires recentes lui confe- 
rent la legitimite requise pour tenir ce role. 
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Les fusions-acquisitions : opportunites et risques ossocies 

Nous verrons tout d’abord que les operations de fusions-acquisitions presen- 
tent aux yeux des dirigeants de I’entreprise acquereuse des atouts certains, 
qui expliquent le recours frequent a ce mode de croissance. Toutefois, elles 
s’averent egalement extremement risquees, notamment les operations trans- 
frontalieres, qui nous interessent ici plus particuUerement. 


Des operations seduisantes pour les dirigeants 

Nous retracerons tout d’abord a grands traits les principales etapes d’un 
mouvement qui tend, comme les autres dimensions de I’activite economi- 
que, a se globaUser. Nous examinerons ensuite les motifs sous-tendant les 
operations de fusions-acquisitions d’un point de vue managerial. 


Les grandes vagues de fusions-acquisitions et leurs corocteristiques 

Les vagues de fusions-acquisitions obeissent jusqu’au milieu des annees 1980 
a des determinants macroeconomiques essentieUement nationaux. Par la 
suite, la globalisation fmanciere va provoquer une synchronisation a I’echeUe 
mondiale du rythme des operations de prise de controle. 

Premiere vague : 1897-1904 

EUe concerne uniquement Peconomie americaine et debute en 1897, dans 
un contexte de croissance economique soutenue, favorisee par le developpe- 
ment des chemins de fer transcontinentaux et de I’electrification et prend fin 
avec la depression de 1904. Les operations sont de type horizontal, c’est-a- 
dire qu’eUes concernent des concurrents sur un meme marche et touchent 
major itairement le secteur de I’industrie lourde. Ces fusions visent a renfor- 
cer le pouvoir de marche des entreprises qui les initient {merging for monopoly), 
selon la typologie proposee par Stigler (1950). Une application tres souple de 
la loi antitrust votee en 1890 (Sherman Act) en a permis la mise en oeuvre. 

Deuxieme vague : 1916-1929 

Le boom economique posterieur a la premiere guerre mondiale marque le 
debut de cette seconde vague qui s’acheve avec la crise de 1929. A la diffe- 
rence de la periode precedente, les operations ne visent plus a renforcer un 
pouvoir de monopole, mais plutot a creer des structures de marche de type 
oligopolistique {merging for oligopoly) afin d’eviter de tomber sous le coup des 
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lois antitrust desormais strictement appliquees. Apparaissent egalement des 
operations de nature verticale (entre des entreprises situees a des niveaux dif- 
ferents d’une meme filiere de production) ou « conglomerale » (reunissant 
des entreprises dont les activites sont sans relation Tune avec I’autre). 

Troisieme vague : les annees 1960 

Aux Etats-Unis, cette vague est major itairement constituee d’operations de 
nature conglomerale dans un contexte ou la protection de la concurrence 
s’est encore renforcee. La generalisation de la forme multidivisionneUe, sui- 
vant une logique de couple produit/marche, soutenue par une instrumenta- 
tion de controle de gestion sophistiquee, permet de rationaliser la gestion 
d’ensembles tres heterogenes. On considere alors les conglomerats comme 
des instruments efFicaces de diversification des risques. 

En Europe, la construction du marche commun suscite la premiere veritable 
vague de fusions-acquisitions. En France, la politique industrielle est mise au 
service de la creation de champions nationaux dans les secteurs juges strate- 
giques. La crise petroHere de 1973 marque I’arret de ce mouvement de con- 
sohdation. 

Quatrieme vague : les annees 1980 

Aux Etats-Unis, les inefficiences caracterisees des conglomerats, combinees a 
I’invalidation par la cour supreme en 1982 des lois restreignant les offfes 
pubhques dans 37 Etats de I’Union, vont initier une vague sans precedent 
d’operations a caractere hostile. La taille des entreprises cibles est parfois tres 
importante et les fusions transffontalieres ne font plus figure d’exception. Sur 
le plan de la doctrine manageriale, un revirement complet s’opere et les 
conglomerats apparaissent enfin tels qu’ils sont : des ensemble difficiles a 
gerer qui n’ont pas tenu les promesses de la diversification. C’est I’epoque des 
strategies de recentrage sur le coeur de metier. 

En France, la tendance est identique. Toutefois, le marche du controle n’est 
pas aussi developpe qu’aux Etats-Unis et les operations sont major itairement 
amicales. A la fin des annees 1980, la vague s’interrompt brievement avec le 
declenchement de la guerre du Golfe. 

Cinquieme vague : les annees 1990 

Tout au long de la decennie va se poursuivre une intense activite de regrou- 
pements d’entreprises, dans un contexte de dereglementation financiere 
generalisee et de globalisation. Les restructurations strategiques continuent a 


iroupe Eyrolles 


© Groupe Eyrolles 


Fusions-acquisitions : le role de I'auditeur interne 201 


obeir a une logique de recentrage sur les activites principales, suscitant des 
operations de nature horizontale accompagnees de cessions. Desormais, dans 
la plupart des pays europeens, le poids des fusions transfrontalieres depasse 
celui des operations domestiques. Les vagues successives de consolidation 
tendent par aiUeurs a generer un nombre croissant de mega deals. Dans le 
meme temps, les progres realises dans le domaine des nouvelles technologies 
de I’information et de la communication (NTIC) facilitent la gestion 
d’entreprises operant a I’echelle mondiale. L’eclatement de la bulle specula- 
tive en 2001 marque la fm de cette periode. 

Sixieme vague : depuis 2005 

L’annee 2005 marque la reprise des transactions a LecheUe mondiale. De 
nouveaux acteurs ont fait leur apparition : les fonds de private equity (15 a 
20 % des operations en Europe) ainsi que les hedge funds. La Chine com- 
mence egalement a emerger comme acteur sur le marche des fusions-acqui- 
sitions (rachat de Marionnaud par AS Watson, des ordinateurs personnels 
d’lBM par Lenovo). A contrario, on note dans certains pays des manifestations 
de patriotisme economique (par exemple, lors de la prise de controle 
d’Arcelor par Mittal Steel). En 2006, le montant des operations a I’echelle 
mondiale a atteint le chiffre record de 3 610 milliards de dollars, en hausse de 
40 % par rapport a 2005 et meme de 6 % par rapport au dernier record 
datant de 2000. 

Favorisees par des determinants de nature macroeconomique, les vagues de 
fusions-acquisitions obeissent egalement a une logique microeconomique. 


Les fusions-acquisitions : quel interet sur le plan managerial ? 

Si les fusions-acquisitions beneficient de la faveur des dirigeants, c’est princi- 
palement, parce que ces operations sont porteuses d’un potentiel d’ameliora- 
tion de la performance des entreprises. Get argument general pent etre 
dechne selon six dimensions qui constituent autant de sources d’accroisse- 
ment d’efficacite : 

• reahsation d’economies de dimension, ; 

• penetration de nouveaux marches a I’etranger ; 

• diminution des couts de transaction ; 

• rationalisation de I’utilisation des competences ; 

• acquisition de nouvelles technologies ; 

• diminution de la pression concurrentieUe. 
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Economies de dimension et baisse des couts moyens 

Realiser une acquisition constitue tout d’abord un moyen rapide de faire 
jouer les economies d’echelle dues a I’existence de couts fixes eleves, notam- 
ment ceux de R & D, de distribution, de gestion administrative et financiere 
(Daimler- Chrysler, Sanofi-Aventis) . C’est aussi parfois le moyen de realiser 
des economies de gamme, c’est-a-dire d’exploiter les synergies procurees par 
la complementarite des produits des entites regroupees (cas de certaines 
fusions bancaires, conmie celle de BNP et de Paribas). 

Penetration des marches etrangers 

Elle constitue le motif principal des operations transfrontalieres dont nous 
avons signale la progression tres rapide depuis le debut des annees 1990. EUes 
permettent ainsi d’etendre le marche des produits de I’entreprise a des clients 
nouveaux (cas des delocalisations vers la Chine ou les pays d’Europe de I’Est). 
La penetration d’un nouveau marche operee par voie d’acquisition se revele 
moins risquee que la creation ex nihilo d’une filiale a I’etranger. Elle accelere 
en effet I’apprentissage de ce nouveau marche. Enfin, I’investissement direct a 
I’etranger sous forme d’acquisition demeure une strategie efficace pour 
contourner les barrieres (tarifaires et non-tarifaires) erigees par certains pays. 

Economies de couts de transaction 

La theorie des couts de transaction (Williamson, 1985) fournit, entre autres 
domaines d’application, des elements d’explication des strategies d’integra- 
tion verticale. Dans cette perspective, I’integration verticale s’analyse comme 
le fait d’internaliser des transactions au lieu de les effectuer sur le marche. 
Cette option strategique s’avere pertinente lorsque les couts encourus pour 
reahser la transaction en interne (couts d’ organisation) sont inferieurs a ceux 
que I’entreprise supporterait si eUe recourait au marche (couts de transac- 
tion) . La theorie indique que lorsque les actifs sont specifiques (difficilement 
redeployables dans d’ autres usages), que la transaction est recurrente et 
I’environnement incertain, I’integration verticale constitue une solution plus 
efficiente que le recours au marche (rachat de Corsair par NouveUes Frontie- 
res, rachat massif de sous-traitants dans I’industrie du luxe) . 

Poursuite d’une strategie de recentrage 

Les fusions-acquisitions constituent un instrument privilegie de recentrage 
des entreprises sur leurs competences fondamentales {core competencies). Selon 
Batsch (2003), le recentrage s’analyse comme un mouvement de correction 
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des exces de diversification. II s’efFectue sous la pression des investisseurs et 
conformement aux enseignements de la theorie financiere : la diversification 
des risques doit etre assuree par les actionnaires (ou les gerants de porte- 
feuiUe) et non par les entreprises dans lesquelles ils investissent. A partir du 
debut des annees 1980, les conglomerats ont ainsi cede la place a des entre- 
prises focalisees sur quelques branches d’activite, redessinant leurs frontieres 
par le jeu des fusions-acquisitions, des cessions et de fexternalisation afin 
d’optimiser la creation de valeur actionnariale. 

Acquisition de nouvelles technologies 

Le management des ressources technologiques constitue aujourd’hui une 
dimension essentieUe de la gestion des entreprises. Dans cette perspective, 
I’acquisition de nouveUes technologies via le regroupement avec une autre 
entite represente un moyen rapide de developper la capacite d’innovation 
d’une entreprise. Un tel motif permet notamment d’exphquer les operations 
conduites par certaines entreprises des pays emergents comme la Chine, le 
Bresil ou I’lnde. L’ absorption de start-ups technologiques permet egalement 
faeces a des technologies complementaires (par exemple, lorsque Cisco 
System a acquis en 2004 les start-ups Actona Technologies, Pocket Network, 
Parc Technologies, P-Cube ou encore NetSolve). EUe constitue egalement 
un moyen de bloquer la concurrence. 

Diminution de la pression concurrentieUe 

L’un des objectifs classiques des operations de regroupement d’entreprises est 
de reduire la pression concurrentieUe en diminuant le nombre de concur- 
rents (cas des fusions-acquisitions horizontales), mais parfois egalement en 
erigeant des barrieres a fentree de concurrents potentiels (cas de certaines 
operations verticales). Les autorites de protection de la concurrence voient 
natureUement d’un mauvais ceil ces tentatives de renforcement du pouvoir 
de marche des entreprises et exercent un controle etroit sur les operations de 
fusions-acquisitions. Lors du regroupement de deux entreprises, ce controle 
pent les conduire a imposer la cession de certaines activites a leurs concur- 
rents afin de prevenir I’emergence d’une situation de position dominante 
dans un secteur (cas de la fusion AstraZeneca et Novartis en 2001). 


Des operations risquees pour les actionnaires 

Omnipresentes sur la scene economique et obeissant a des motifs clairement 
identifies par la recherche, les operations de fusions-acquisitions n’en sont 
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pas moins delicates a mettre en oeuvre. Leur impact sur la richesse des action- 
naires est depuis longtemps discute par la litterature qui fournit sur ce point 
des resultats contrastes. Nous en presenterons une vue synthetique. Nous 
analyserons ensuite le risque auquel sont exposes les actionnaires de I’entre- 
prise acquereuse lors d’une operation de regroupement d’entreprises. 


Impact des fusions-acquisitions sur la richesse des actionnaires 

La litterature empirique consacree a revaluation de I’impact des fusions- 
acquisitions sur la richesse des actionnaires comporte deux types d’etudes : a 
court terme et a long terme. 

La mesure des reactions a court terme du marche 

Ces travaux envisagent d’une part I’effet de I’annonce d’une operation de 
fusion-acquisition sur les actionnaires de la cible et d’ autre part son impact sur 
ceux de I’acquereuse. A court terme, les actionnaires de la cible beneficient 
d’une prime variant entre 30 % et 40 % selon les etudes (Weston et Johnson, 
1999). La prime est plus forte en cas de paiement en monnaie. En effet, lors- 
que I’acquereuse paie avec ses propres actions, le marche interprete ce choix 
comme le signe d’une surevaluation des titres. Les rendements observes sont 
egalement superieurs lorsque le rapprochement est opere par le biais d’une 
OPA plutot que d’une fusion. La richesse des actionnaires de I’acquereuse 
n’est, au mieux, pas affectee par I’operation. Sur la periode 1973-1978, 
Andrade et al. (2001) mesurent une reaction negative du marche de — 0,7 %. 

devaluation a long terme de la creation de valeur 

Dans ce cas, c’est I’impact sur la richesse des actionnaires de I’entreprise ini- 
tiatrice qui est evalue. Dans I’ensemble, les etudes realisees montrent que les 
actionnaires de I’acquereuse sont perdants. S’agissant des fusions, les resultats 
des etudes empiriques sont convergents et mettent en evidence des rentabiU- 
tes anormales cumulees sur cinq ans negatives (Agrawal et al, 1992 ; Rau et 
Vermaelen, 1998). En revanche, les travaux portant sur les olfres publiques 
debouchent sur des conclusions divergentes. Plusieurs auteurs trouvent des 
rentabUites anormales cumulees non significativement differentes de zero 
(Franks et al., 1991 ; Higson et Elliot, 1998). D’autres mettent en evidence 
une rentabilite moyenne positive a cinq ans (Loughram etVijh, 1997). Sur le 
marche fran(jais, Pecherot (2000) trouve une rentabilite anormale cumulee 
negative de 25,4 %. Les resultats des mesures a long terme apparaissent 
cependant tres sensibles a la methodologie utbisee (Albouy 2000) . 
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La litterature suggere done que seuls les actionnaires des entreprises cibles 
s’averent clairement gagnants dans les fusions-acquisitions. Plusieurs hypo- 
theses ont ete formulees pour tenter d’expliquer les performances decevantes 
de I’acquereuse. Le dirigeant de I’entreprise acheteuse pourrait etre victime 
de hiais cognitifs (Barahel et Meier, 2002), notamment un penchant a sures- 
timer sa capacite a gerer une operation aussi complexe et risquee qu’une 
fusion-acquisition : e’est I’hypothese d’orgueil (hubris) faite par Roll (1986). 
11 serait egalement victime de la « malediction du vainqueur » lorsque, 
confronte a une concurrence pour la cihle, il accepterait de payer un prrx trop 
eleve pour remporter Lofife, compromettant ainsi la rentahUite de I’operation 
(Dickie et al, 1987). Enfin, dans la perspective de la theorie de I’agence (Jen- 
sen et Meckling, 1976), on pent noter que les conflits d’interets entre action- 
naires et dirigeants sont importants dans un contexte de fusion-acquisition. La 
realisation d’operations contraires aux interets des actionnaires s’expliquerait 
alors par Lopportunisme des dirigeants (Morck et al, 1990). 

Nous nous proposons maintenant de proceder a une analyse glohale du 
risque auquel sont exposes les actionnaires de I’entreprise acquereuse lors 
d’une operation de fusion-acquisition. Par souci de concision, nous parle- 
rons de « risque d’acquisition » pour designer ce risque. 

Aleas de la creation de valeur pour les actionnaires : le risque d’acquisition 

Le risque d’acquisition designe celui auquel sont exposes les actionnaires de 
la firme acheteuse de voir la valeur des titres qu’ils detiennent haisser lors 
d’une operation de rapprochement avec une autre entreprise. 11 s’agit fonda- 
mentalement d’un risque de nature fmanciere. 11 peut etre decompose sui- 
vant deux dimensions. Toute fusion-acquisition met en jeu une relation de 
cooperation entre dirigeants de I’entreprise acquereuse et de la cihle, media- 
tisee par leurs conseils (Pochet, 2000) . Ce Hen expose les actionnaires-acque- 
reurs, par I’intermediaire de leurs dirigeants, aux risques d’agence que font 
naitre I’asymetrie d’information, la rationalite limitee et I’incertitude. Mais le 
risque, pour les actionnaires, ne s’arrete pas la. Leur interet et celui des diri- 
geants peuvent en effet diverger radicalement lors d’une operation d’acquisi- 
tion. Les actionnaires sont alors exposes au risque d’opportunisme des 
dirigeants. 

Le risque d’agence 

Considerons tout d’ahord le cas ou les dirigeants agissent loyalement a 
I’egard des actionnaires. Dans cette hypothese, le risque qu’encourent ces 
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derniers se limite a un risque de selection adverse. II traduit la possibilite 
pour I’acquereur de commettre une erreur dans I’appreciation des caracteris- 
tiques de la firme cible et par consequent dans revaluation de cette derniere 
ainsi que des effets de synergie qu’eUe pent generer. Comme pour toute 
decision d’investissement, I’opportunite economique d’une acquisition 
s’apprecie a I’aune du critere de la valeur actueUe nette (VAN) ; qui doit etre 
positive pour que I’operation cree de la valeur pour les actionnaires. 

La VAN d’une acquisition est egale a la difference entre le gain economique 
procure par I’operation et son cout de realisation (Jobart et al, 1994). Sup- 
posons qu’une entreprise A veuiUe acquerir une entreprise B. Le gain econo- 
mique est defini comme la difference entre la valeur du nouvel ensemble 
constitue par le rapprochement de A et B et la somme des valeurs de ces 
deux entreprises considerees separement soit : 

Gain economique = V^+g - (V^ + Vg) 

II s’agit done des gains procures par les effets de synergie attendus du regrou- 
pement. 

Le cout de I’operation est egal a la difference entre le prix d’acquisition et la 
valeur de la firme acquise, soit : 

Cout de Foperation = prix d’acquisition - Vg 
La VAN du projet d’acquisition s’exprime done ainsi : 

VAN = V^+g - (V^ + Vg) - (prix d’acquisition - Vg) 
C’est-a-dire : 

VAN = (V^+g -V^ - prix d’acquisition 

Les parametres de la prise de decision et de la negociation sont done consti- 
tues pour I’acquereur comme pour le cedant des evaluations de chacune des 
deux firmes et de celle de I’entite susceptible d’emerger de leur rapproche- 
ment. Conformement a la theorie financiere, ces evaluations doivent etre 
menees en actualisant, a un taux tenant compte du risque, les sommes des 
flux nets de liquidites susceptibles d’etre generes dans le futur par I’entite 
consideree (A, B ou A+B). Ces flux etant par nature aleatoires, les evalua- 
tions qui en decoulent sont done en fait des esperances mathematiques cal- 
culees sur la base d’hypotheses ponderees par des probabilites subjectives 
d’occurrence. 


o 
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Dans cette perspective, le risque d’agence traduit le risque d’erreur (du a 
I’incertitude, aux biais informationnels et a la limitation des capacites 
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cognitives du decideur) qui s’attache aux evaluations de chacune des 
firmes partenaires d’un projet d’acquisition et plus encore a celle des effets 
de synergie et des couts d’integration post-acquisition engendres par leur 
reunion. Ce risque peut conduire les dirigeants a prendre des decisions 
contraires a la rationalite economique et done destructrices de valeur pour 
les actionnaires. 

Le risque d’opportunisme 

Les dirigeants, lorsqu’ds ne sont pas les proprietaires de I’entreprise, ont regu 
mandat de gerer celle-ci dans I’interet des actionnaires. Toutefois,lorsqu’ils dis- 
posent de Mquidites abondantes et ont epuise toutes les opportunites d’investis- 
sement creatrices de valeur, Us sont incites a entreprendre des projets risques, 
par exemple des fusions-acquisitions (Jensen, 1986). D’une part, la remunera- 
tion des dirigeants est fortement correlee a la tadle de I’ensemble qu’ds dirigent 
(Baker et al, 1988). 11 y a la une incitation a faire croitre cette tadle et les acqui- 
sitions constituent un moyen rapide d’y parvenir. D ’autre part, des motivations 
d’ordre non pecuniaire (pouvoir, notoriete) peuvent egalement jouer. La theo- 
rie de I’enracinement (Shleifer et Vishny 1989) propose un argument 
complementaire : les fusions-acquisitions constitueraient un moyen pour les 
dirigeants de s’enraciner, e’est-a-dire d’elever le cout de leur remplacement. 
Dans cette perspective, la realisation d’operations de fusion-acquisition s’ana- 
lyse comme une strategie deMberee de « complexification » par les dirigeants 
de la structure de leur groupe. Les operations de regroupement d’entreprises 
constituent done un terrain natureUement propice a la manifestation de com- 
portements opportunistes de la part des dirigeants, ce qui renforce le caractere 
risque de ces operations pour les actionnaires. Nous aUons maintenant exami- 
ner quel role I’auditeur interne peut jouer pour maitriser les risques associes 
aux operations de fusions-acquisitions. 


Lauditeur interne dans le processus d^achat : 
un atout pour lo moitrise des risques 

Une operation de fusion-acquisition peut etre decrite comme un processus 
comportant quatre phases distinctes, les deux premieres se situant en amont 
de la transaction, les suivantes intervenant une fois la transaction conclue. 
Nous aUons passer en revue le role de I’auditeur interne a chacune des etapes 
du processus en distinguant la contribution qu’il est susceptible d’apporter en 
amont de la transaction, puis en aval. 
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intervention en amont de la transaction 

Deux etapes precedent la conclusion d’une transaction entre I’acquereuse et 
la cible : la phase de pre-acquisition et ceUe de structuration de Toflre et de 
negociation. 


Pre-acquisition : identifier les leviers de creation de valeur 

La phase de pre-acquisition s’inscrit dans la continuite du processus d’ana- 
lyse strategique conduit par I’entreprise. Celle-ci ayant identifie I’exis- 
tence d’un probleme strategique fait le choix d’y repondre au moyen 
d’une fusion-acquisition. Le profil de la cible est alors defini et les candi- 
dats potentiels a I’acquisition identifies. La phase de pre-acquisition 
s’acheve avec la selection d’une entreprise parmi les cibles potentieUes et 
la validation de I’opportunite de creation de valeur que constitue son 
integration a I’initiatrice de I’offre. 

A ce stade de I’operation, le risque principal est de nature strategique. Faire 
le choix de la croissance externe, notamment a I’international, permet de se 
developper plus rapidement qu’en creant de toutes pieces une filiale a 
I’etranger. Le rachat permet egalement de beneficier d’un effet annonce qui 
pent s’averer interessant en termes de notoriete. Toutefois, ce choix doit 
reposer sur des motifs solides, car il est largement irreversible. 11 faut done 
que le projet d’acquisition s’inscrive dans une vision strategique claire, sous- 
tendue a la fois par une logique strategique de creation d’avantage competitif 
durable et par une logique fmanciere de creation de valeur par I’obtention de 
synergies (synergies de couts et/ou de revenus). 

L’auditeur interne a-t-il un role a jouer a ce stade ? Une etude Internatio- 
nale menee par Selim et al. (2003) indique que peu d’auditeurs internes 
sont sollicites dans la phase de pre-acquisition. Toutefois, leur implication 
precoce dans le processus d’acquisition serait extremement benefique. 
L’ aptitude des auditeurs internes a envisager I’entreprise de fagon globale, 
leur connaissance des differentes unites d’affaires et des strategies qui leur 
sont associees, leur conferent la capacite de conseiller le management, en 
complement des cabinets de conseil en strategie generalement mobilises 
au stade de la pre-due diligence, lls ont egalement un role a jouer en 
matiere de controle strategique, en complement du conseil d’ administra- 
tion, du fait de leur capacite a evaluer le processus de planification strate- 
gique. Leur domaine privilegie d’intervention demeure cependant celui 
de la due diligence. 
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En pratique 

Le groupe PPR offre un exemple de strategie reussie de croissance externe, 
reposant sur I'anticipation des difficultes de certains secteurs et, d ['inverse, 
des opportunites de croissance offertes par d'autres secteurs. Initialement 
present dans I'industrie du bois, le groupe opere un virage strategique 
significatif en 1 990 avec ['acquisition de CFAO, entreprise specialisee 
dans le negoce avec I'Afrique. Le fondateur anticipe alors une crise de sur- 
production dans le bois, ainsi qu'une complexification de la reglementa- 
tion, notamment en termes d'environnement. La decennie 1 990 voit 
s'operer le virage de la distribution specialisee vers la distribution grand 
public avec ['acquisition de Conforama, du Printemps et de La Redoute. La 
fin des annees 1990 marque enfin I'entree dans le luxe avec ['acquisition 
de Gucci en 1 999. Cette strategie a ete poursuivie depuis, PPR procedant 
d ['acquisition progressive de marques non concurrentes entre elles, posse- 
dant chacune des specificites en termes de produits, de clienteles, 
d'image. 


Evaluation de la cible et negociation : participer a la due diligence 

Compte tenu de la complexite et du risque eleves associes aux operations de 
regroupement d’entreprises, de nombreux experts sont amenes a intei'venir 
dans le processus aUant de la manifestation d’un interet pour la cible au bou- 
clage de la transaction (dosing). Nous nous concentrons ici sur une etape 
essentieUe de ce processus, la due diligence, dont nous preciserons tout 
d’abord les principaux enjeux. Nous examinerons ensuite le role des audi- 
teurs internes dans ce processus. 

Le processus de due diligence 

Dans une operation de fusion-acquisition, on appeUe due diligence la mise en 
oeuvre de procedures d’examen preUminaire de la cible dans le cadre d’une 
operation amicale. Sur le plan de la methodologie, eUe s’apparente a un audit 
operationnel oriente vers la detection des risques et dont le champ couvre la 
totalite des fonctions de I’entreprise. EUe a pour objectif principal de proceder 
a un diagnostic general et a une valorisation argumentee de I’entite auditee. 
EUe debouche sur la formalisation d’une offre preliminaire (memorandum of 
understanding ou MoU) qui servira ensuite de base a la negociation. 

La reaUsation des dues diligences est generalement confiee a un cabinet d’audit, 
les plus grands d’entre eux proposant des services de conseil Ues aux opera- 
tions de fusions-acquisitions (Transaction Advisory Services). La mise en 
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oeuvre d’une due diligence peut se heurter a des difficultes d’obtention des 
informations ainsi qu’a une pression temporelle importante. Dans le 
contexte des fusions-acquisitions, on nomme deal breaker un probleme 
majeur qui vient interrompre la transaction. Au cours de la due diligence, et 
notamment de la due diligence financiere, I’auditeur identifie de nombreux 
problemes qui vont se resoudre par le biais d’ajustements comptables (depre- 
ciations d’actifs, constitution d’une provision pour risque, etc.). Seul un pro- 
bleme majeur est susceptible de constituer un deal breaker. Par aiUeurs, il est 
clair que le but de I’auditeur consiste a identifier le maximum de problemes 
afin de diminuer le prix d’acquisition de la cible. 

L’enjeu d’une due diligence financiere est triple : obtenir une comprehension 
des performances passees de la cible, analyser I’activite correspondant a 
I’exercice courant, enfin evaluer le potentiel futur de creation de valeur de 
I’acquisition. 

Les principales analyses a effectuer pour comprendre la performance histori- 
que sont resumees dans le tableau n° 1 ci-apres. 


Tableau n° 1 - Comprendre la performance historique 


Enjeux 

Principales analyses 

Qualite et flabllite des informations 
financieres 

Bouclage des differentes sources d’lnformatlon 
(comptes soclaux, balances auxillalres, etats de 
gestion) 

Reconciliation des tableaux de financement avec 
les comptes de resultat et bilans 
Revue des principes comptables et permanence 
des methodes 

Identification des specificites de la 
cible et de son marche 

Clients, fournisseurs (concentration, revenue/pur- 
chasing model) 

Saisonnalite 

Outlls de production et modes de distribution 

Analyse des « trends » d’activite et 
de profitabilite historiques et identifi- 
cation des principaux leviers 

Analyse des effets volume, prix, mix produits et 
couts de production sur le chiffre d’affaires et la 
marge brute 

Analyse de la structure des charges d’exploltatlon 
(fixe/variable) 

Definition du ROP normatif 

Analyse des resultats financiers et exceptionnels 

Analyse du BFR 
Evolution mensuelle 

Definition du BFR normatif 

Analyse des Investissements 

Risque lie a I’historique 
Impact de la cession 
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L’ analyse du current trading consiste a passer en revue les derniers comptes dis- 
ponibles (mensuels, trimestriels ou semestriels) arretes par le management de 
la cible et a projeter ces comptes par rapport au budget de I’annee en cours. 
Ceci permet de connaitre la tendance en matiere d’evolution de I’activite, de 
la rentabilite et de la situation de tresorerie. En comparant les derniers chif- 
fres disponibles au budget, il est egalement possible d’apprecier la quaUte des 
previsions du management de la cible. Enfin, moyennant un examen detaiUe 
du carnet de commandes, cet exercice permet d’ajuster si necessaire les pre- 
visions de resultat en fm d’ exercice. 

L’analyse de I’activite courante passe egalement par un audit des principaux 
postes a risque du bilan ainsi que par I’identification des principals zones de 
risques hors bdan. Les points principaux sont les suivants (tableau n° 2). 

Tableau n”2 - Identification des risques au bilan et hors bilan 


Enjeux 

Principales analyses 

Valeur economique des actifs 

Revue des provisions sur actifs circulants 
(clients, stocks, autres actifs) 

Revue des amortissements et des depre- 
ciations des actifs immobilises 
Controle de I’existence des stocks et des 
immobilisations 

Exhaustivite des passifs 

Exhaustivite des dettes d’exploitation et 
hors exploitation 

Analyse des provisions pour risques et 
charges 

Comprehension de la situation fiscale du 
perimetre de cession 

Risque lie a I’historique 

Impact de la cession (sur les engagements 

sociaux, etc.) 

Identification de I’ensemble des elements 
hors bilan 

Analyse de I’ensemble des engagements 
donnes et regus 

Impact de la cession sur ces engagements 
(clauses de change of controt) 

Comprehension du perimetre de cession 

Revue des methodes de consolidation et 
comprehension de I’ensemble des engage- 
ments vis-a-vis des entites exclues du peri- 
metre de consolidation 


Si la comprehension des performances passees et de I’activite courante de la 
cible constituent des elements importants d’une due diligence, I’estimation du 
potentiel de creation de valeur de ceUe-ci dans le futur demeure I’objectif 
majeur de cet exercice. A cet egard, le plan d’affaires {business plan) construit 
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par la cible fait Tobjet d’un examen tres pousse. II s’agit de verifier la cohe- 
rence des hypotheses fondant les projections d’activite avec la tendance des 
donnees historiques. De meme, le caractere realiste des previsions doit etre 
interroge et des analyses de sensibilite conduites. A ce stade, il est indispensa- 
ble d’identifier les risques cles ainsi que les principaux leviers de perfor- 
mance inclus dans le business plan. 

Le role de I’auditeur interne 

L’etude precitee de Sehni et al. (2003) met en evidence le fait que la due diU- 
gence constitue I’etape du processus d’acquisition au cours de laqueUe les 
auditeurs internes sont le plus mobilises. Dans certains cas, I’auditeur interne 
est inclus dans Tequipe de due diligence, par nature multifonctionneUe, dans 
d’autres, il intervient en appui de consultants exterieurs. Ses domaines privi- 
legies d’intervention concernent I’audit du management des risques et de la 
fonction audit interne de la cible. Il verifie parfois que les personnes chargees 
de revaluation de la cible possedent les quahfications requises pour accom- 
plir cette tache. Enfin, dans certaines entreprises, il s’assure que les faiblesses 
identifiees lors de la due diligence sont bien prises en consideration lors de la 
fmahsation de la transaction. 

Cette contribution des auditeurs internes a la phase d’evaluation de la 
cible parait sous-exploiter leurs competences. En particulier, il semble 
evident que leur contribution devrait inclure la revue du systeme de 
controle interne de la cible. Ils devraient au minimum verifier que la due 
diligence couvre bien tons les domaines fonctionnels de la cible. Plus lar- 
gement, ils devraient s’assurer qu’au stade de la negociation, les membres 
de I’equipe disposent de criteres precis de « go /no-go ». Le role des audi- 
teurs internes s’apparente plus generalement a celui de « poll a gratter » a 
travers leur capacite de detection des deficiences du processus global 
d’evaluation de la cible. 

Ils ont enfin un role crucial a jouer en evaluant le degre de compatibilite 
entre les cultures des deux entites {cultural fit) au moyen d’un audit culturel 
de la cible. Get examen permet d’identifier les principaux risques lies a 
I’existence d’une distance culturelle entre I’acquereuse et la cible et d’esti- 
mer le cout du fosse culturel. Essentielle pour evaluer le potentiel createur 
de valeur de I’operation, la variable culturelle demeure un parametre 
determinant pour le succes de I’operation au stade de I’integration post- 
acquisition. 

o 
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L'intervention apres la transaction 

Une fois la transaction conclue, I’objectif du nouvel ensemble est de concre- 
tiser les attentes en matiere de creation de valeur ayant motive I’operation de 
regroupement. A cet egard, I’integration post-acquisition constitue une 
etape cruciale. A ce stade, I’audit permet d’evaluer globalement I’operation 
et d’en tirer des lecons pour le futur. 


Integration post-acquisition : concretiser les synergies ottendues 

Les resultats decevants des fusions-acquisitions peuvent certes resulter 
d’erreurs d’ evaluation de la cible. La Utterature revele toutefois que la plupart 
des echecs ont pour origine une maitrise insuffisante du processus d’integra- 
tion post-acquisition (Jemison et Sitkin, 1986 ;Haspeslagh et Jemison, 1991). 
Des opportunites de synergies peuvent alors etre gachees par une insuffisante 
preparation ou une execution defaiUante du programme d’integration. 


En pratique 

A priori, les operations tronsfrontolieres sont porticulierement delicotes d 
gerer de ce point de vue. Une etude reolisee par Mercer Management 
Consulting indique toutefois qu'en moyenne, 61 % des groupes oyont 
mene des operations tronsotlontiques enregistroient de meilleures perfor- 
mances que leur secteur 36 mois apres la signature centre 52 % pour les 
operations continentoles (europeennes). 


La difference pourrait etre due au fait que, compte tenu de la complexite de 
I’operation, dans les entreprises du premier groupe, des structures exception- 
neUes ont ete mises en place pour gerer le projet d’integration et une atten- 
tion particuliere a ete portee a I’integration des cultures. Les principales 
difficultes auxqueUes se heurtent les equipes d’integration sont en effet de 
plusieurs ordres : organisationnel d’une part, culturel et humain d’autre part. 

Les difficultes d’ordre organisationnel 

Sur le plan de 1’ organisation, la principale difficulte provient de I’existence 
de « doublons » tant au niveau des fonctions et des moyens qu’a celui des 
produits et des marches. La maitrise de la gestion des doublons conditionne 
en realite la capacite du nouvel ensemble a concretiser les synergies attendues 
en termes de couts. Ces synergies se traduisent par une diminution du cout 



214 La contribution de I'audit interne ou processus de gouvernonce de I'entreprise 


moyen due a la realisation d’economies d’echeUe (par exemple, via la reunion 
des deux sieges sociaux) ou de gamme (par la rationalisation des services 
logistiques, la restructuration des reseaux de distribution). Comme le notent 
Hartmann et al. (2003), « la realisation des synergies de couts est critique lors 
d’une operation de fusion-acquisition, notamment parce qu’eUe represente 
un signal fort vis-a-vis des analystes et des marches sur la bonne execution de 
I’integration ». 

Les synergies de revenus proviennent, elles, des revenus supplementaires 
engendres par le developpement de nouvelles activites (favorise par I’aug- 
mentation de la puissance managerial et technique) ou I’existence de com- 
plementarites commerciales (opportunites de cross-selling dans les fusions 
bancaires par exemple). Ce type de synergies est tres important car, a 
I’inverse de celles de couts, elles vehiculent une vision positive de I’avenir du 
groupe, creant un bien meiUeur cHmat en son sein que lorsque sont antici- 
pees des reductions d’effectifs liees a la gestion des doublons. Les changements 
organisationnels portent en effet des consequences sociales et humaines. 

Les difficultes d’ordre culturel et humain 

Le changement organisationnel consecutif a une operation de fusion-acqui- 
sition constitue un facteur d’incertitude pour les salaries en raison des boule- 
versements qu’il engendre (Buono et Bowditch, 1989). Le principal danger 
est alors la perte de talents si les individus qui detiennent des competences 
precieuses pour I’entreprise ne sont pas incites a demeurer au sein du nouvel 
ensemble (Kiessling et Harvey, 2006). En presence de doublons, plusieurs 
approches peuvent etre identifiees : paritaire (equiUbre acquereur/cible), 
equitable (le meilleur a chaque poste), predatrice (I’acquereur impose ses 
hommes). En termes d’efficience, I’approche equitable domine nettement 
les deux autres. L’approche predatrice manifeste quant a eUe la volonte du 
top management de I’entreprise acquereuse d’imposer, avec ses hommes, sa 
culture. Or, toutes les cultures d’entreprise ne sont pas natureUement compa- 
tibles. Qui plus est, dans les fusions transfrontalieres, a la confrontation des 
cultures d’entreprise se superpose ceUe des cultures nationales. La capacite a 
maitriser le processus d’integration cultureUe apparait ainsi comme une condi- 
tion importante du succes d’une operation de regroupement d’entreprises. 

La distance cultureUe entre entreprise acquereuse et cible est une source 
potentieUe de choc des cultures identifiee depuis longtemps par la Utterature 
(Berry, 1980 ; Nahavandi et Malekzadeh, 1988). Ces chocs culturels peuvent 
engendrer stress et conflits et deboucher sur des comportements dysfonc- 
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tionnels (Cartwright et Cooper, 1994). Globalement, I’impact negatif de la 
distance cultureUe sur la performance post-acquisition a pu etre mesure 
(Datta et Puia, 1995 ; Weber et Menipaz, 2003).^ contrario, dans les opera- 
tions transfrontaberes, la distance cultureUe n’est pas necessairement un obs- 
tacle au succes du rapprochement. En elargissant I’eventaU des routines et des 
repertoires organisationnels, elle pent se reveler un levier de performance 
(Morosini et al., 1998). 

En quoi les auditeurs internes peuvent-Us contribuer au bon deroulement du 
processus d’integration ? Tout d’abord, ils ont natureUement vocation a faire 
partie du comite d’integration si une telle entite est creee. D’apres Hartmann 
et al. (2003), le comite d’integration est une structure composee de cadres 
experimentes des deux entreprises, dediee au suivi de I’ensemble des projets 
d’integration et a la coordination des equipes concernees. Adosse a la direc- 
tion generale, done independant et impartial, U s’agit d’un des rouages essen- 
tiels a la bonne reussite de I’operation. 

Concernant la concretisation des synergies, ceUe-ci passe par la mise en place 
de structures dediees afin d’identifier les « meUleures pratiques » et d’en 
organiser le partage au sein du nouvel ensemble. De par leurs competences 
en matiere d’audit fonctionnel, les auditeurs internes sont particulierement 
bien places pour mettre en place des procedures de benchmarking et de com- 
paraisons internes au sein du nouveau groupe. Leur position au sein de 
I’entreprise, garantissant leur independance vis-a-vis des differentes fonc- 
tions, leur permet d’aborder cet exercice de fa^ on equibbree, en etant prets a 
apprendre des differences avec la cible, plutot que dans une demarche impe- 
riabste a sens unique. 

Concernant le processus d’ acculturation, les auditeurs internes ont un role a 
jouer pour faebiter la communication entre les equipes des deux entites ainsi 
que le partage des connaissances en matiere de systemes et de procedures de 
controle interne tout comme de management des risques. Enfin, ils ont voca- 
tion a effectuer le suivi du processus d’integration en defmissant des indica- 
teurs de suivi des performances, notamment de realisation des synergies et en 
rapportant regulierement sur les progres enregistres ou, au contraire, sur les 
difficultes rencontrees lors des reunions du connte d’integration. 


Audit post-acquisition : capitoliser I'experience acquise 

La premiere responsabilite des auditeurs internes devrait etre de conduire un 
audit post-acquisition dans un delai de six mois a un an apres la conclusion 
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de la transaction afin de verifier que les objectifs specifiques de Toperation 
ont bien ete atteints. Le resultat de cet audit doit etre communique an 
comite d’audit et an consed d’ administration. Nous avons evoque plus haut 
les risques de conduite opportuniste du dirigeant lors des decisions de 
regroupement d’entreprises. Le role de I’auditeur interne a cet egard s’inscrit 
dans sa mission generale en matiere de gouvernance d’entreprise, une mis- 
sion d’ amelioration de la qualite de cette gouvernance, grace a une commu- 
nication reguliere avec les auditeurs legaux, le comite d’audit et I’equipe 
dirigeante (Gramling et al., 2004). NatureUement, sa capacite a rempHr 
effectivement ce role est subordonnee au respect de deux conditions : une 
totale objectivite et une competence sufFisante. 

Cette mission s’est singuHerement renforcee depuis I’occurrence des scanda- 
les financiers du debut des annees 2000. En France comme aux Etats-Unis, 
la qualite du controle interne dans les entreprises cotees est devenue I’objet 
d’une surveillance etroite par les autorites de regulation des marches finan- 
ciers. L’ obligation pour les dirigeants de rapporter chaque annee sur les pro- 
cedures de controle interne (avec des perimetres variables selon les pays) 
confere de fait un role renforce en matiere de gouvernance d’entreprise a la 
function d’audit interne. On observe d’aibeurs que les budgets, les effectifs et 
le nombre de reunions avec le comite d’audit ont considerablement aug- 
mente aux Etats-Unis depuis 2002 (Carcello et a/., 2005). 

La possibdite pour une entreprise de capitaliser I’experience acquise lors 
d’operations anterieures de fusions-acquisitions est discutee par la litterature. 
D’une part, le caractere non routinier d’une telle operation rendrait delicate 
I’amorce d’un processus d’apprentissage organisationnel. Les dirigeants dis- 
posant d’une experience anterieure reussie auraient tendance a repliquer 
mecaniquement les processus d’integration utilises dans le passe sans tenir 
compte des specificites des nouveUes acquisitions, surtout s’ils ont peu 
d’experience en la matiere (HalebUan et Finkelstein, 1999). D’autre part, 
lorsqu’eUes pratiquent une politique systematique d’acquisition, les entrepri- 
ses semblent etre en mesure de beneficier d’effets d’apprentissage (Finkelstein 
et HalebMan, 2002 ; Rovit et Lemire, 2003) . 

L’auditeur interne devrait etre la cheville ouvriere de ce processus qui passe 
par une codification de I’experience acquise par les membres des equipes 
d’integration. En effet, celle-ci est de nature tacite et done difficilement 
communicable au sein de I’entreprise. Si rien n’est entrepris pour en conser- 
ver une trace ecrite et organisee, la transmission des savoir-faire acquis se 
limitera a des recits anecdotiques non structures, de peu de valeur en termes 
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d’apprentissage organisationnel. L’auditeur interne doit done concevoir les 
supports qui permettront de recueillir les retours d’experience, diffuser ces 
documents aux personnes concernees et faire la synthese des elements 
recueidis. L’experience pent alors etre formaUsee dans un guide d’acquisi- 
tion. La formalisation du processus permet de rassurer les equipes qui inter- 
viendront sur de futures operations en leur fournissant un cadre structure et 
de les maintenir sous tension. Elle doit toutefois eviter de tomber dans 
fecueil de la rigidite.Toute operation est singuliere et il serait vain (et meme 
contre-productif) de chercher a appliquer chaque fois des recettes identiques. 


En pratique 

Ainsi, General Motors, qui acquiert en moyenne une centoine d'entrepri- 
ses par an, peut-il tirer profit des experiences passees (Hitt et a/., 2001 ; 
Markides et Oyon, 1998). Encore fout-il, pour que ces effets d'apprentis- 
soge se monifestent, que I'entreprise oequereuse mette en place les outils 
necessaires d la capitalisation de I'experience accumulee. 


Pour conclure... 

Les operations de fusions-acquisitions ont vocation d enrichir les actionnaires : e'est 
tout du moins I'argument invoque par les dirigeants pour convaincre les investisseurs 
de leur bien-fonde. Pourtant, que ce soit au cours de la decennie 1 990 ou d I'epoque 
des raids hostiles des annees 1 980, bien des disillusions ont couronne des deals qui 
semblaient prometteurs. 

Les causes de ces echecs sont diverses : 

- suresti motion des synergies ; 

- sous-estimation des difficultes d'integration et des coOts associes ; 

- mauvaise maitrise du processus d'integration ; 

- biais cognitifs divers du dirigeant et de son equipe. 

Il s'agit Id en definitive des risques classiques gui s'attachent d toute prise de decision 
d'investissement en situation d' incertitude. A tous ces risques, il faut cependant 
ajouter celui d'opportunisme du dirigeant. En effet, les fusions-acquisitions 
constituent, nous I'avons vu, un contexte favorable aux conflits d'interets entre 
dirigeants et actionnaires. 

^intervention de I'auditeur interne est susceptible de contribuer d la maTtrise des 
deux categories de risques auxquels se trouve expose I'actionnaire. S'agissant de la 
maTtrise du risque financier classique, elle releve globalement d'une mission 
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d'expression d'assurance par I'auditeur interne relativement d I'evaluation des 
processus, fonctions et operations de lo cible. Concernont le risque d'opportunisme, 
lo contribution de I'auditeur interne s'inscrit dons une perspective globole de 
gouvernonce d'entreprise. Lo mission de I'auditeur consiste dons ce cos d evoluer lo 
quolite du processus global d'ocquisition. L'enjeu consiste d foire en sorte qu'une 
operation destructrice de voleur puisse etre identifiee comme telle et que le conseil 
d'administrotion soit en mesure d'en bloquer lo mise en oeuvre. I'auditeur interne o 
ici vocation d colloborer ovec le comite d'oudit, les ouditeurs legoux et I'equipe 
dirigeonte. Son independonce et son objectivite constituent les gorontes de so 
copacite d remplir correctement ce role de protection des octionnoires. 


Partie III 


La mise en oeuvre 
d'audits specifiques 
en environnement international 
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Chapitre 9 

L'audit des fraudes dans les filiales 


Par Noel Pons, 

Conseiller au Service Central de Prevention 

de la Corruption 

ET Valerie Berche, 

Directrice de I'oudit Groupe d lo Fronpoise des Jeux 


F ace a une notion de groupe en elle-meme deja difficile a cerner sur le 
plan juridique, les efFets conjugues de la mondiaUsation et de la sous- 
traitance, allies a la dissemination des centres de decision dans des regions tres 
disparates sur le plan des langues, des pratiques juridiques, commerciales et 
comptables, generent des asymetries d’informations significatives entre les 
entites d’un meme groupe. La fiabilite du systeme de reporting, souvent 
techniquement complexe, est dans les faits difficile a evaluer, car elle repose 
souvent plus sur des apparences de coherence que sur une reelle pertinence. 

Sur le plan juridique, on pent definir la filiale comnie une societe dans 
laqueUe une autre societe detient une fraction du capital definie selon les 
textes juridiques locaux. Les valeurs detenues inferieures a la participation 
plancher sont qualifiees de valeurs d’investissement pour la societe proprie- 
taire. La filiale est done une personne morale, mais en situation de depen- 
dance. 11 en resulte plusieurs consequences previsibles, a integrer dans la 
reflexion de 1’ audit eur : 

* les controles exerces par la societe mere peuvent etre Hmites par le posi- 
tionnement des dirigeants de la structure et par le fait qu’elle constitue un 
centre d’affaires autonome vis-a-vis de ses partenaires et des tiers ; 

• I’autonomie de la filiale se traduit dans les domaines comptables, dans 
ceux relatifs a la securite, dans I’analyse des infractions qui presentent un 
caractere penal ainsi que ceUes liees aux autres legislations et reglementa- 
tions (fiscale, douaniere et relative au droit du travail) . 
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De plus, il n’existe pas au sein d’un groupe deux filiales presentant les memes 
caracteristiques ni le meme degre d’autonomie. Chacune necessite done une 
approche adaptee a sa situation specifique. 

Les raisons justifiant ces differences sont diverses et I’histoire apporte souvent 
des explications pertinentes. Ainsi, la societe filiale pent avoir ete creee dans 
un but bien precis, par exemple la representation ou la commercialisation 
d’un produit. Mais eUe pent aussi presenter des caracteristiques plus genera- 
les. Juridiquement, eUe appartient en totaUte, avec ou sans effet levier, direc- 
tement a la maison mere ou indirectement si e’est une autre filiale qui en est 
proprietaire. De meme peut-eUe etre creee en association avec d’autres par- 
tenaires dans un but particulier. Enfm, eUe peut avoir fait I’objet d’un rachat, 
avec les anciens proprietaires presents ou non dans le capital. L’ ensemble des 
specificites des filiales requiert pour I’auditeur la necessite de defmir des 
modalites d’approche differentes. 

Dans le meme ordre d’idees, les modalites de gestion entre filiales peuvent 
etre fort dissemblables, de meme que les objectifs qui leur sont assignes, sui- 
vant que la filiale se presente comme un centre de profit independant ou 
qu’elle est integree au modMe economique du groupe. La encore, les parti- 
cularites necessitent la mise en place d’un questionnement particulier de la 
part de I’auditeur. 

En resume, au regard de la fraude, les recherches a mener en fiUale ne sont 
guere differentes en termes de methodologie de celles qui peuvent etre deve- 
loppees au sein de la maison mere, mais elles doivent systematiquement faire 
I’objet d’une adaptation qui peut s’averer lourde. 


Les evaluations liminaires 

Ces evaluations concernent plusieurs domaines et doivent etre realisees dans 
tons les cas. La bonne suite des recherches depend en effet directement de la 
pertinence de cette analyse. 


L’organisation pratique de la mission d’audit 

Lorsque les operations ne sont pas sous-traitees a des services de controle 
speciahses, il convient d’integrer imperativement les points suivants : 

• apprecier I’environnement specifique du pays au regard des risques, des 
methodes de travail, de la conduite des entretiens et de la faisabilite des tests ; 
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* identifier, au sein des filiales a auditer, le poids de cet environnement et 
des risques associes, au travers d’eventuels historiques existants et 
d’interviews ; 

* mettre au point la liste des personnes a rencontrer et preparer les entre- 
tiens (introductifs, de coUecte d’information et de confirmation ou de 
cloture) ; 

* identifier les pratiques et les methodes les plus efficientes devant etre 
approfondies pour rechercher les preuves des fraudes ou pour demontrer 
I’absence de malversations ; 

* developper une analyse avec les juristes locaux et ceux de la maison mere 
afin d’identifier les consequences juridiques des elements qui peuvent etre 
mis en evidence ; 

* organiser I’equipe d’audit de maniere a ce que les auditeurs fassent preuve 
d’adaptabilite, d’une connaissance suffisante de la langue, de la culture et 
des particularites locales, notamment sur le plan comptable ; 

* agencer materieUement les travaux de maniere a ce que I’organisation 
logistique et les imperatifs du calendrier soient respectes ; 

* au final, savoir s’appuyer sur les normes locales et s’adapter tout en se refe- 
rant aux normes d’audit et aux methodologies eprouvees en matiere de 
recherche de preuves, de maniere a eviter l’« enfumage ». 


Sur I'environnement du support de gestion commerciale 

La premiere approche a mener pour I’auditeur concerne le support informa- 
tise, qui sous-tend notamment I’ensemble des operations de reporting. En 
effet, la credibiUte des comptes transmis est toute entiere assise sur cet ele- 
ment. Les autres analyses, en particulier ceUes relevant des processus metiers, 
sont complementaires a ceUe-ci, etant donne que toute recherche portant sur 
les failles relevees dans les processus ne permet pas de montrer les carences ou 
des montages integres dans les fichiers relatifs a la gestion commerciale. 

Dans un environnement informatise, ou les procedures comptables et de 
gestion sont etroitement liees, la fraude reaHsee au profit ou aux depens de 
I’entreprise utilisatrice integre necessairement des manipulations au niveau 
des procedures informatiques, justement pour effacer les effets trop evidents 
de la fraude. Trois domaines sont particulierement sensibles en la matiere : 

• la gestion de la tresorerie et des moyens de paiements (analysee p. 237) ; 
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• les flux de marchandises ou les prestations realisees avec la facturation 
associee ; 

* la comptabilite qui peut donner lieu a des operations d’ajustement. 

Sur le plan pratique, il est essentiel de commencer par identifier les progiciels 
et les logiciels utilises et comprendre comment le « millefeuille » informati- 
que fonctionne, c’est-a-dire comment les diverses informations sont entrees 
et communiquent entre elles. L’objectif est de s’assurer que les principes de 
base de la comptabilite sont appliques, et que le ou les systemes utilises res- 
pectent les quatre regies d’or : imputabilite, tragabilite, non-repudiation et 
« auditabilite ». 

Puis vient le moment de decliner I’approche d’audit pour chacun des domai- 
nes identifies de gestion informatisee, sous forme de questions cles pour la 
tresorerie, la facturation et la comptabilite. 

Pour la tresorerie : 

* existe-il des ventes ou des prestations payees au comptant ? Comment 
sont geres les moyens de paiements ? 

• comment fonctionne la procedure de mise en paiement d’une depense 
ou d’un achat ? UtiUse-t-on des moyens de paiement automatiques ? 

• comment s’operent les rapprochements bancaires ? Avec la caisse ? Avec 
les comptes de tresorerie ? 

Pour la facturation : 

* existe-il des avoirs ? QueUes sont les procedures et les typologies de 
facturation ? Quels montants et quels usages documentaires sont utilises ? 

• comment s’operent les entrees et sorties de marchandises ? Quelles sont 
les differentes procedures de facturation ? 

* existe-il des retours de marchandises ? D’emballages ? Quels procedes, 
quels modes de gestion et quels enjeux financiers ? 

Pour la comptabihte : 

• comment s’effectuent les transferts des factures en comptabilite ? 

• existe-il des ecritures d’operations diverses ? 

* peut-on supprimer une ecriture comptable, une facture ou un avoir ? 

* peut-on « de-cl6turer » une periode comptable achevee ? 

Si le questionnement laisse apparaitre I’existence d’une ou de plusieurs de ces 
opportunites, le risque de fraude est d’emblee tres significatif. 
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L'existence de dispositifs de controls interne 

L’ existence et la qualite du controle interne doivent etre evaluees en fonction 
de la nature de I’organisation, notamment selon que le groupe est centralise 
ou plus ouvert. L’ analyse a conduire porte essentieUement sur I’environne- 
ment de controle, revaluation des risques, la nature des activites de controle, 
enfin le pilotage de son fonctionnement. 

L’objectif de I’auditeur, dans sa mission au sein des filiales, est de valider les 
quatre points suivants : 

• s’d existe des dispositifs de controle interne averes ; 

• si ces dispositifs sont effectivement mis en oeuvre et s’ils sont pertinents ; 

• le cas echeant, la nature des failles identifiees et le risque associe ; 

• quels coUaborateurs sont charges de la mise en place, de revaluation, du 
pilotage et du reporting de cette activite. 

11 s’agit de rechercher en particulier l’existence d’un tableau de bord general, 
etabU par chacun des services intervenants, puis d’en valider la pertinence. 
Les procedures existantes en matiere de gestion des incidents, des dysfonc- 
tionnements et des crises sont egalement examinees. 


L'existence d'une reelle separation des fonctions 

La notion de separation des pouvoirs ou des fonctions constitue I’un des ele- 
ments fondamentaux d’un dispositif efficient de controle interne. Nous 
I’avons cependant traite a part du fait de son importance dans 1’ articulation 
du controle sur le risque de fraude. 

Le developpement des systemes informatises met justement frequemment a 
mal ce principe de separation des pouvoirs. En effet, ces systemes generent 
des operations suivies et systematiques qui respectent de moins en moins les 
separations necessaires au bon controle des operations. 

11 est aussi necessaire de reaUser un test sur la qualite des habditations infor- 
matiques, afin de repondre plus precisement aux quatre dernieres questions 
precedentes. 
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Les bonnes questions 

• Les pouvoirs, les delegations et les responsabilites de chocun sont-ils 
bien definis, connus de tous et correspondent-ils d la realite constatee ? 

• Tous les responsables ayant quitte la structure ont-ils perdu leur delega- 
tion et leurs avantages ? 

• Les regies et les procedures (manuelles ou informatiques) sont-elles clai- 
rement definies et connues de tous ? 

• Le risque de doublon des toches est-il present ? 

• Un risque d'obsence de controles existe-t-il ? 

• Peut-il exister des engagements non outorises ? 

• Au regard des carences relevees, le risque de froude est-il present et d 
quel niveau ? 

• Existe-t-il un risque de detournements d'actifs ? 


Les fraudes generiques 

Les filiales peuvent etre utilisees, quel que soit leur degre d’integration, 
comme autant de societes ecrans pour realiser des montages a des fins frau- 
duleuses, qui beneficient a la maison mere ou a des personnes physiques. Si 
les deux premiers types de montages sont realises au profit de la maison mere, 
le troisieme, lui, est, au contraire, elabore a I’encontre de la maison mere. 

Selon des procedes tres classiques, la manipulation des comptes des filiales 
permet de majorer les produits de la filiale, mais aussi de la maison mere. 11 
est aussi possible de faire glisser des produits d’une structure a une autre afin 
de minorer les produits ou de majorer les charges. Ces manipulations sont 
recurrentes lorsqu’il s’agit d’organiser un detournement personnel. 


L'ameiioration de la presentation des comptes 

Les montages les plus connus doivent etre recherches dans les manipulations 
mises en place par Enron, WoiTdcom et Parmalat, qui ont instaUe la filiale 
comme pivot de montage frauduleux permettant de manipuler les comptes. 

Les conseHs d’Enron ont largement utilise ces structures dans le but de dega- 
ger les creances injustifiees de leurs comptes. Le montage elabore etait alors 
le suivant. 
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En pratique 

Une structure de ce type est creee, avec d sa tete un responsable des ban- 
ques engagees aupres d'Enron ou un manager de niveau moyen de cette 
derniere. Puis Enron cautionne un pret consenti par ces memes banques d 
ces « Special Purpose Entities ». L'achat par ces societes des creonces 
injustifiees libere Enron des pertes correspondantes et genere mecanique- 
ment un produit. Celui-ci est fictif, mais une fois la caution « camouflee », 
la situation de tresorerie est amelioree. Sur ces operations, les analystes 
financiers peu perspicaces identifient une situation interessante et propo- 
sent I'action d l'achat, ce qui augmente la valeur boursiere. 

Sur la duree, ce chateau de cartes ne pouvait que s’efFondrer. Pres de neuf 
cents filiales attachees directement ou indirectement a Enron ont ainsi ete 
demasquees. Le montage est assez complexe, mais « il le valait bien », dans la 
mesure ou les managers retiraient un interet considerable de ces operations 
du fait de Paugmentation de la valeur boursiere de leurs titres ainsi que de 
I’utilisation de stock-options. 

Dans un cas sinnlaire, les controles de nature a identifier les indicateurs 
d’alertes pourraient etre les suivants : 

* qui est I’actionnaire majoritaire de la societe, gere-t-il d’autres societes ? 

• quel est son pourcentage de participation et quels sont les autres deten- 
teurs d’actions ? 

* quelle est la date de creation de la societe ? 

• quel est son principal client ? 

• quels sont ses principaux fournisseurs ? 

* d’ou provient la tresorerie (emprunts, fonds propres, avances de la maison 
mere ou du groupe, etc.) ? 

• qui sont les dirigeants ? 

* qui s’est porte caution pour les prets au cas ou la societe ne disposerait pas 
de suffisamment de tresorerie pour racheter les creances douteuses ? 

Une reponse positive a deux ou trois de ces questions constitue un indicateur 
fort du risque d’utbisation de la filiale a un montage frauduleux. 


La modification des valeurs de transfert 

Les echanges relevant de la valeur de transfert des biens ou des services vont 
affecter les comptes d’exploitation, et done les stocks, les travaux en cours et 
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en dernier lieu les comptes financiers. A partir des caracteristiques fiscales 
propres aux Etats dans lesquels le groupe a instaUe des filiales, il est tentant de 
modifier la valeur des facturations par le biais d’une maj oration des prrx uni- 
taires. Cela revient, en clair, a augmenter la valeur de cession des biens dans 
le pays qui presente la charge fiscale la moins contraignante ou dans lequel les 
informations ont le plus de peine a sortir, done a y domicilier le maximum 
de benefices, et a faire supporter la charge la plus lourde aux filiales situees 
dans les pays a fiscaUte lourde. 

Bien entendu, chacune de ces manipulations entrainera une succession de 
montages qui affecteront les documents justificatifs de maniere a garder une 
apparence formeUe indiscutable. En termes de consoHdation des comptes, 
cela ne change rien. En revanche, le gain est immense en termes de tresore- 
rie. Deux types de transactions seront constates : ceUes qui affecteront les 
transferts de biens et celles qui affecteront ceux des services. 

Modifier la valeur de transfert d’un bien ou de services pour localiser une 
taxation ne constitue pas une manipulation inconnue. Elle s’avere meme tres 
ancienne et reste d’une redoutable efficacite. Ainsi est-il possible d’amenager 
des ventes de produits a un prix minore dans le cadre d’une societe fran^ aise 
exportatrice. L’interet de I’operation est double : il affecte la minoration de la 
taxation en France et le transfert des fonds et de la marge dans la societe qui 
joue un role d’ecran. 

Une manipulation existante reside aussi dans I’activite de formalisation des 
pieces justificatives et de collecteur de fonds dans un paradis fiscal ou dans un 
pays moins impose. 11 est egalement possible de majorer les achats. Dans ce cas, 
la majoration des comptes de charges diminue d’autant les benefices imposa- 
bles en France et locahse les produits dans un pays a fiscahte privhegiee. 

Ces mecanismes n’ont d’interet que si I’instigateur, par aiheurs beneficiaire 
du montage, detient le pouvoir effectif dans la societe de facturation situee 
dans un paradis fiscal. En effet, ne pas etre present dans la societe de factura- 
tion fait courir le risque de devoir partager les fonds mis « a I’abri ». En con- 
sequence, il faut imperativement detenir, directement ou indirectement (par 
I’effet levier) la majorite du capital de cette societe et etre en mesure de les 
gerer. En revanche, il n’est pas necessaire ni meme souhaitable que les societes 
complices obligees ou volontaires detiennent une participation dans les enti- 
tes de facturation. 
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On constate done que les operations decrites ci-avant consistent essentieUe- 
ment a « trafiquer » les valeurs d’echange. Ce type de manipulation est com- 
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munement rattache a la notion de fraude fiscale. Dans de nombreux cas, de 
plus en plus frequents d’aiUeurs, il s’agit d’un leurre qui, sous un aspect a tort 
conrmunement admis, camoufle des operations moins avouables comme des 
paiements de commissions ou des camouflages de produits a I’encontre des 
actionnaires. 

Le questionnement suivant concerne le seul montage ffauduleux. Si aucune 
activite ne pent etre rattachee a la filiale qui facture, la fraude est evidente. 


Les bonnes questions 

• Quelle a ete la procedure de determination du prix de transfert choisie ? 

• La filiale qui facture exerce-t-elle une activite dans le cadre du cycle com- 
mercial du produit concerne (domiciliation, stockage, repartition, etc.) ? 

• Quelles sent les caracteristiques de la filiale (creation, capital, nombre 
de salaries etc.) ? 

• Les prestations immoterielles facturees d propos des produits sont-elles 
evaluables ou pas ? 

• L'actionnariat est-il au courant des pratiques de la filiale ? 


Les fraudes des managers des filiales 

Le positionnement des managers dans une filiale peu maitrisee presente 
quelques risques dans la mesure ou il est possible de transformer des revenus 
acquis a la filiale en revenus personnels non declares ou en avantages en 
nature consequents. S’ils disposent d’une autonomie non controlee, leur 
situation les rend aptes a en tirer une foule d’avantages personnels. 


En pratique 

Dans la filiale « investissement » d'un groupe important, des detourne- 
ments considerables, 20 millions de francs environ, sent realises par un 
directeur qui achetait pour la maison mere des terrains qui n'existaient 
pas. 

Un responsable de la filiale chargee de gerer la construction de magasins 
a monnaye I'attribution de contrats de construction centre des pots-de-vin 
evalues d plusieurs dizaines de millions d'euros. 

Dans le secteur de la publicite, tel directeur de filiale detournait pour son 
propre compte les ristournes offertes par des chaTnes televisees. 
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Ces montages, qui denotent une carence de controles, restent cependant 
atypiques si on les compare aux montages efFectues avec des societes ecrans. 

II existe dans ce cas deux niveaux d’ecrans qui se superposent : celui propre a 
la filiale et celui de la societe intermediaire. Ces ecrans permettent de 
camoufler la destination des fonds detournes, car ces montages ressemblent a 
de veritables operations commerciales et sont presentes comme tels. On pent 
notamment citer la creation de societes exterieures a I’entreprise dont I’objet 
est I’exportation des produits commercialises par I’entreprise. Get artifice 
permet, au travers de ces societes ecrans, de ponctionner une partie de la 
marge de la societe a titre personnel sans que le controle interne puisse 
s’appHquer. Nous terminerons par le « teleguidage » du sponsoring. Le 
manager aiguille le sponsoring de la filiale vers des supports qu’il controle ou 
dans lesquels il a des interets. C’est un moyen efficace de s’assurer, de 
maniere indirecte, la fidelite de clients ou de fournisseurs au travers d’une 
operation mediatisee. 

Le questionnement au regard de ces types de risques pourrait s’organiser 
autour des points suivants : 

• quel est le degre reel du controle de la gestion du manager ? En existe -t-il 
un ? Ne peut-il pas etre camoufle par une separation apparente des 
taches ? 

* quel est le degre d’impHcation du manager local dans les decisions lourdes 
en termes d’engagement ou de cout ? 

• quelle est la quaUte du reporting de ce dernier vers la maison mere ? 

* queUe est la valeur globale de ses engagements au regard de la gestion de 
I’entreprise ? 

• le retour sur investissement des operations engagees par le manager a-t-il 
ete evalue ? 

* quelles sont les structures liees aux operations engagees par ce dernier 
(conseils, facditateurs, societes civiles, fournisseurs, avocats, comptables) ? 

* quel est le chiffre d‘affaires realise par ces derniers au regard de celui cons- 
tate dans la filiale ? Sommes-nous en presence d’une situation de rente ? 

• existe -t-il des situations lourdes en charges et qualifiees de « domaine 
reserve » ? 

Plusieurs reponses positives a ces questions constituent des indicateurs de la 
presence d’un risque de detournement par le dirigeant. 
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La fraude des employes 

Les employes peuvent aussi participer de facon importante aux manipula- 
tions. On afFecte a ces derniers, si tant est qu’il soit possible d’evaluer les frau- 
des, 80 % environ des fraudes totales en nombre. En valeur, le pourcentage 
pourrait bien etre inverse. La fraude des employes dans les filiales correspond 
pour partie aux pratiques generales. En revanche, la specificite en termes de 
filiale ou de pays intervient de fa^ on considerable dans les comportements. 


Les typologies des fraudes classiques 

Utilisables dans les filiales comme dans les societes centralisees, eUes sont, 
dans la plupart des cas, dues a une carence dans le processus de maitrise 
d’activite ou dans fapplication de ce processus. Les fraudes les plus commu- 
nement pratiquees peuvent etre classees par processus metier et sont organi- 
sees autour de methodes relativement simples et connues depuis des lustres. 

Les processus d'achats 

11s peuvent etre afiectes d’abord par la manipulation des procedures relatives a 
I’achat. Cela se traduit essentieUement par une surfacturation des prestations 
ou des achats factures a la societe. Cependant, cette surfacturation necessite 
I’intervention du fournisseur qui doit etre partie prenante au montage pour 
que la recuperation des fonds soit possible. Les pratiques de fractionnement 
des marches le plus souvent utilisees permettent notamment de ne pas depas- 
ser les limites des delegations d’engagements autorisees. 

Les montages dits « des comptables » sont beaucoup plus simples, meme s’ils 
ne sont pas aises a deceler. 

D’autres manipulations sont bien moins sophistiquees, mais restent redouta- 
blement efficaces. 11 s’agit de reintroduire dans la comptabhite des factures 
deja inscrites dans les comptes et payees. Si le systeme comptable ne prevoit 
pas de blocage sur ce point ou s’il n’est pas defmitif, le fraudeur pourra reuti- 
liser ce document (papier ou numerise) pour generer un paiement a son pro- 
fit. 11 faudra, au prealable, avoir cree un nouveau compte bancaire pour 
beneficier pleinement du montage. 

L’un des cas relativement utihse est celui du double paiement d’un 
fournisseur : une facture deja reglee est reinjectee dans le circuit, mais avec 
une adresse bancaire differente. 
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En pratique 

ll est possible de creer un fournisseur fictif et de I'integrer d la liste des four- 
nisseurs lorsqu'elle existe. Cette creation, qui releve du faux le plus strict, 
genere I'emission d'une facture justifiant le paiement sans que le processus 
ne soit d aucun moment affecte. De plus, en termes de fraude, le risque 
d'etre identifie intervient au moment ou le fournisseur est cree. Une fois la 
structure integree dons la liste des fournisseurs, elle peut fonctionner long- 
temps sons aucun probleme. En I'espece, lors de I'onolyse des comptes 
fournisseurs, oucune irregulorite opporente ne permet d'indiquer la pre- 
sence d'un risque. La creation de toutes pieces d'un fournisseur n'est pas le 
seui montage envisageable, il est simplement I'un des plus elabores. 

Les autres montages de meme nature consistent en general d utiliser un 
fournisseur dormant pour simuler une facturation ; on aura au prealable 
pris le soin de creer un nouveau compte bancaire pour recevoir les fonds. 
Ce precede est assez pertinent, car il utilise une structure dejd integree 
dans les tables. 


Enfin, en cas d’absence ou de carence ponctuelle de controle, le fraudeur 
peut generer des achats dont la societe n’a nul besoin, mais qu’il utilise a titre 
personnel. 

Bien entendu, chaque situation constitue un cas d’espece, le fraudeur utih- 
sant les moyens dont il dispose et les carences du controle pour organiser ses 
manipulations. En outre, chaque point d’identification est celui auquel le 
fraudeur n’a pas acces dans le processus. L’analyse d’une carence ou d’un 
manque dans le processus concerne permet d’identifier le point de depart du 
montage. 

Une autre modalite de manipulation consiste a acheter plus de produits que 
necessaire ce qui permet a I’acheteur de beneficier de cadeaux, de voyages 
ou d’une situation privilegiee. A cet egard, le questionnement pose peut etre 
le suivant. 


Les bonnes questions 

1 . Au regard de la selection des fournisseurs pour les filiales importantes : 

• Existe-t-il une procedure d'agrement des fournisseurs encadree par des 
planchers d'autorisation ? 

.../... 
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• Existe-t-il une remontee systematique des factures situees juste en des- 
sous des montants delegues ? 

• A-t-on mis en place une extraction systematique des fournisseurs intrus 
(non inclus dons les listes) et une analyse des chiffres d'affaires realises 
de la prestation et des modalites de reglement ? 

• A-t-on mis en place une remontee systematique des modifications des 
fichiers fournisseurs, en porticulier celles concernant les identifiants 
bancaires ? 

• A-t-on correle les retours de fabrication, les avoirs, les problemes divers 
relatifs aux produits avec les fournisseurs concernes ? 

• Dispose-t-on d'une analyse portont sur les chiffres d'affaires, les modali- 
tes de paiement, les dates de creation et la credibilite economique des 
fournisseurs concernes ? 

• Est-il possible de correler ces analyses avec un responsable local ? 

2. Au regard de la mise en place des processus : 

• Une separation des taches existe-t-elle entre les trois moments forts de 
I'achat (commande, reception/validation et paiement) ? 

• Existe-t-il une liste des forpages du systeme de gestion (tous les forpages) 
et est-elle utilisee d des fins de controle ? 

• Les elements relevant de la tresorerie font-ils I'objet d'un encadrement 
pertinent ? 

• Une analyse de I'existence et de I'explication de doublons est-elle 
effectuee ? 

• Une analyse est-elle effectuee systematiquement entre les budgets et la 
realisation definitive des operations ? 

• Ces analyses sont-elles correlees avec les problemes releves dans la ges- 
tion des stocks ? 


Les processus de ventes 

Les fraudes dans le processus des ventes presentent a peu de choses pres les 
memes caracteristiques que ceUes declinees dans les achats. EUes sont siniple- 
ment constituees a flux renverse. Les fraudes relatives aux achats augmentent 
les sorties de maniere illegitime alors que les fraudes relatives aux ventes 
diminuent les produits. 
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La creation d’un client fictif est une vielle histoire . . . EUe permet de faire 
beneficier indirectement celui qui la met en place de bonus on de commis- 
sions plus importantes. En efFet, la vente qui lui est alFectee est comptabilisee 
comme une vente reeUe. En ce sens, eUe rentre dans le calcul du bonus. En 
revanche, lorsque le paiement n’est pas efFectue, qui va payer ? Les avoirs ne 
diminuent pas les sommes deja obtenues pour les Fraudeurs. 

11 est aussi interessant de creer des clients FictiFs, qui jouent le role d’ecran 
lorsque le fraudeur desire detourner des produits. Le client ne paye pas et 
I’organisateur pent vendre les produits pour son propre compte. La grande 
criminalite utilise largement ce systeme pour agresser les entreprises et les 
depouiUer de la valeur Facturee. 

Les montages elFectues autour des Facturations sont legion et aFFectent le ser- 
vice commercial. 11 s’agit de vendre moins cher des produits a une societe 
liee, ce qui se materialise par un manque a gagner. On I’identifie en general a 
partir du calcul de la moyenne des remises. C’est alors le client avantage qui 
beneFicie des sommes au detriment de la societe qui a vendu. Les sommes 
peuvent etre partagees entre les complices. Cette pratique est utdisee fre- 
quemment lorsque les societes sont proches de la liquidation. Ce montage 
souvent couple avec celui mettant en oeuvre un client FictiFpermet d’extraire 
de la societe des produits qui seront negocies au noir. 

Les manipulations de Facturation ou d’especes constituent le moyen le plus 
frequent pour detourner des sommes. 11 s’agit de manipulations qui consis- 
tent a ecremer les comptes clients, c’est-a-dire que le fraudeur va detourner 
une partie des especes qui devraient etre comptabilisees au compte client ou 
emettre des Factures avec des acomptes, encaisser ceux-ci a titre personnel et 
creer une nouveUe Facture sans indiquer leur existence. Ceci ne pent cepen- 
dant pas etre efFectue avec tous les clients et necessite, pour en beneFicier, 
une bonne connaissance du fichier client. 

On remarquera que I’analyse des Fraudes a partir des comptes clients est simi- 
laire a ceUe efFectuee a partir des comptes Fournisseurs. La seule difFerence 
dent a la nature des flux qui est inversee. Le questionnement pouvant etre 
developpe sera le suivant. 

Au regard de la selection des clients pour les Filiales importantes : 

• existe-t-il une procedure d’agrement des clients encadree par des plan- 
chers d’autorisation, des taux de remises et des modalites de reglement ? 

* existe-t-il une remontee systematique des Factures emises situees juste en 
dessous des montants delegues ou des taux Fixes ? 
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• a-t-on mis en place une extraction systematique des clients intrus (non 
inclus dans les listes) et une analyse des chiffres d’affaires realises et des 
modaHtes de reglement ? 

• a-t-on mis en place une remontee systematique des modifications des 
fichiers clients, en particuUer celles qui concernent les identifiants 
bancaires ? 

• a-t-on correle les retours de fabrication, les avoirs, les problemes divers 
relatifs aux produits avec les clients concernes et les commerciaux ? 

• dispose-t-on d’une analyse portant sur les chiffres d’affaires, les modalites 
de paiement, les dates de creation et la credibdite economique des clients 
concernes ? 

• est-H possible de correler ces analyses avec un responsable local ? 

Au regard de la mise en place des processus : 

• une separation des taches existe-t-eUe entre les trois moments forts de la 
vente (commande, reception/validation des taux, sortie de stock et 
paiement) ? 

• existe-t-il une liste des for^ages du systeme de gestion (tons les for^ ages) 
et est-eUe utilisee a des fins de controle ? 

• les elements relevant de la tresorerie font-ils I’objet d’un encadrement 
pertinent ? 

• une analyse de I’existence et de I’explication de doublons est-eUe 
effectuee ? 

• une analyse est-elle effectuee systematiquement entre les budgets et la 
realisation definitive des operations ? 

• ces analyses sont-elles correlees avec les problemes releves dans la gestion 
des stocks ? 

Les processus de salaires 

Les processus relatifs aux fraudes sur les salaires dans les filiales sont bien 
connus, et pour les societes instaUees dans des Etats moins controles, les 
opportunites sont bien plus ouvertes que dans les maisons meres ou Ton 
risque plus d’identifier des salaries fictifs instaUes pour des raisons politiques 
ou de lobbying. Les montages sont done assez simples et peuvent etre classes 
en trois categories. 

La premiere categorie regroupe les faux salaries ou les salaries fantomes. 11 
s’agit de salaries ajoutes sur les fichiers de salaires et qui n’ont pas d’existence 


236 La mise en oeuvre d'audits specifiques en environnement international 


si ce n’est celle de generer de vrais paiements pour le fraudeur. Ces faux sala- 
ries peuvent etre integres dans le systeme comptable, mais il arrive souvent 
que le montage consiste a continuer a payer un salarie qui a quitte la struc- 
ture. Lorsqu’il existe des cas de sous-traitance sur plusieurs sites non conso- 
les, il arrive que les memes salaries soient factures plusieurs fois. Le fait que, 
dans de nonibreux pays, les paiements soient effectues en especes, rend plus 
difficile le controle. 

La seconde categorie de montages concerne des modifications de taux ou 
une augmentation des salaires au profit de certaines personnes. Dans ce cas, 
les amities, les preferences, sont souvent largement remunerees. 

Le dernier cas est celui des remboursements de ffais qui peut se decliner de 
diverses manieres, suivant faeces dont dispose le fraudeur au systeme infor- 
matise. Ces remboursements peuvent etre totalement faux, mais il est aussi 
possible de les comptabiUser plusieurs fois. On suit en cela le systeme classi- 
que des manipulations frauduleuses. 

Le questionnement pose peut etre le suivant. 


Les bonnes questions 

• Existe-t-il une separation des fonctions entre le recrutement, la paie et la 
cloture des dossiers de personnel ? 

• Existe-t-il des procedures ou moment de I'entree et du depart des 
personnels ? 

• ['ensemble du personnel est-il soumis d un meme regime ? Dons ce cos, 
comment est organise le regime des personnels hors systeme ? Quel est 
le responsoble concerne ? 

• Existe-t-il un fichier du personnel liable presentont des informations suffi- 
sontes, pertinentes et utiles ? 

• Existe-t-il une possibilite de rapprochement des fichiers de paie ? Si oui, 
est-il utilisoble dans lo filiole et dons ses divers sites ? 

• Existe-t-il une liaison et un controle portent sur le releve des heures tro- 
voillees et un controle est-il possible ovec lo paie ? 

• Existe-t-il une politique de remboursements des frais ? Est-elle oppliquee ? 

• Existe-t-il une politique d'encodrement des ovonces et de leur rembourse- 
ment ? 


o 
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Au cas ou des reponses negatives afFectent plusieurs questions ou si les paie- 
ments en especes excedent la moyenne relevee dans des structures similaires, 
nous sommes en presence d’indicateurs forts de risque. 


Le processus de tresorerie 

Dans ce processus, on releve des possibilites de detournement considerables. 
11 s’agit dans la plupart des cas d’erreurs ou de manipulations autour de la 
caisse ou de la gestion des coniptes bancaires et des titres de paiement. 

Les techniques de fraudes relatives aux depots et aux recettes en especes sont 
utilisables si les fonctions ne sont pas separees et si les rapprochements ban- 
caires et relatifs aux stocks sont approximatifs. On releve id quelques prati- 
ques tres connues. 


En pratique 

II en va ainsi de I'ecremage de la tresorerie ovant que les especes ne soient 
entrees dans le systeme. II peut se produire au cours de ventes sur site ou 
hors site. Le probleme pose aux froudeurs estcelui de I'equilibre des comp- 
tes, en particulier d portir des evaluations de stock. Le froudeur est oblige 
de reguloriser les operations avec des faux avoirs, des faux retours, ou des 
provisions pour depreciation ou pour vol dans les inventaires. 

Les erreurs de caisse constituent aussi un bon moyen de detourner des 
fonds d titre personnel. Le probleme qui se pose est celui de I'enregistre- 
ment des operations, car d ce stade, tout est enregistre. 


Par aiUeurs, les detournements sur les retours de produits constituent un 
moyen antediluvien de tfaude. lls consistent a enregistrer le retour, a rem- 
bourser le produit au client mecontent, puis a garder le produit et a le reven- 
dre sans qu’il retourne dans I’inventaire. 

Le detournement de fonds sur les comptes clients, masque par des operations 
fictives (kitting) constitue aussi un bon support de detournement. La seule 
maniere de le mettre en evidence, outre la maladie ou les vacances du frau- 
deur, consiste a identifier les transferts interbancaires non justifies par des 
operations reelles. 

Enfm, cela recouvre toutes les operations pouvant etre reaUsees a partir de 
formules bancaires detournees. 
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La gestion de la tresorerie et des placements presente une typologie assez dif- 
ferente. Les risques du courtage, les detournements d’interets dus, les aides 
illegitimes a des structures tiers ainsi qu’un risque de blanchiment seront mis 
en evidence. 


En pratique 

Les fraudes liees aux operations de courtage sont relotivement frequentes 
dons ce domoine. En effet, un courtier peu scrupuleux peut etre utilise 
comme une structure ecron. Son intervention est pertinente, cor elle cree 
une structure intermedia ire credible et rencherit une prestation. Le supple- 
ment illegitime peut etre portage ovec le responsoble qui autorise la mani- 
pulation. Le constat d'une foiblesse du controle, d'une prise de decision 
uniloterole et le fait que certains courtiers oient des toux de commission 
hors norme de moniere constonte sont des indicoteurs de risque mojeurs. 


Les placements financiers dans un etablissement situe dans un paradis fiscal 
peuvent aussi etre manipules. Le contrat officiel est minore d’un point envi- 
ron, la difference est versee sur le compte de celui qui a organise le montage. 
Sur plusieurs centaines de millions places, le detournement est considerable. 
La fraude est batie sur un conflit d’interet. La stabdite iUogique de I’utilisa- 
tion de telle ou telle structure, bien que peu profitable, une prise de decision 
sans partage et une absence, voire une opposition certaine de certains mana- 
gers a mettre en place des comparaisons, constituent les indicateurs les plus 
pertinents. 

Dans le meme ordre d’idee, on peut constater la presence d’aides financieres, 
souvent temporaires et non documentees dans la comptabdite a des entreprises 
appartenant a des dirigeants ou a des actionnaires. Ainsi, utdiser un courtier 
complice pour organiser le detournement est assez pratique. 

11 est aussi possible de blanchir en mettant a disposition d’un delinquant les 
comptes d’une structure, lei, la corruption est souvent le moteur de I’opera- 
tion. Les indicateurs sont assez simples : le constat de flux financiers anorma- 
lement importants couples avec une « tunnelisation » de la pseudo-activite,la 
rapidite des transferts ainsi que I’occurrence des faits lorsque teUe personne 
est aux commandes. En son absence, rien de tel ne se produit. 

Ainsi, la recherche de la fraude necessite-t-eUe une methodologie consom- 
mee et une grande debauche de croisements d’informations, alors que la 
mise en place du montage lui-meme est souvent relativement simple. 
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Le questionnement qui pourra etre pose sera le suivant.Au regard de la secu- 
rite des locaux et des documents : 

• les moyens de paiement et les locaux dans lesquels ils se trouvent sont-ils 
proteges ? 

• les donnees relatives aux partenaires des societes sont-elles protegees ? 

• est-d prevu de confier des taches relatives au paiement a des employes sta- 
giaires ou temporaires ? 


Les typologies relevant du risque pays 

L’audit des filiales necessite I’integration d’un « risque pays » qui recouvre un 
certain nombre d’elements connus et reconnus dans le domaine de l’audit. 
Les particularismes etrangers sont divers, mais nous n’en retiendrons que 
cinq qui emergent particulierement fortement : les particularismes culturel, 
linguistique, juridique, commercial et comptable et fiscal. Get audit recouvre 
aussi trois risques particuliers rattaches a Taction crimineUe : le risque de 
chantage, celui d’encadrement mafieux, enfin le risque d’utilisation de la 
filiale comme support de blanchiment. 

Si le risque pays est relativement couvert, les autres le sont moins. En effet, 
dans le plus grand nombre de cas, le groupe recherche une homogeneite des 
pratiques, en particulier a partir de notions communes qui constituent le 
veritable ciment du groupe. 

Pour ce qui releve des enlevements, ce procede est toujours largement utilise 
par le grand banditisme et par des structures terroristes. Les premiers en reti- 
rent des especes et creent la peur qui assoie leur pouvoir economique. Les 
seconds y voient un moyen aise d’obtenir notoriete, provocation et finances. 
Ces enlevements sont « economiques », realises par des organisations crimi- 
neUes plus ou moins structurees, dont Tobjectif est, pour le coup, le seul 
profit financier. Evidemment, ce sont les entreprises qui sont les premieres 
visees, car eUes sont considerees comme susceptibles de payer. 

Le chantage mafieux est assez frequent : les groupes criminels organises pro- 
posent alors une protection contre un risque qui n’existe pas s’hs ne sont pas 
presents. Cette « protection » pent prendre diverses formes. Les modalites du 
prelevement s’etendent depuis le versement classique d’especes dont on dis- 
pose a partir de fausses factures et de societes ecrans jusqu’aux prestations de 
securite, de gardiennage, ou d’intermediation rendues par des « entreprises » 
liees aux criminels. 
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En pratique 

Dans certains pays, ces enlevements « economiques » se sent transformes 
en une veritable Industrie criminelle. Les enlevements peuvent etre cibles ou 
effectues d partir d'operations aleatoires. Le plus souvent, des delinquents 
primaires enlevent tous les etrangers qui entrent dans leur perimetre, et en 
fonction de la nationalite, de la qualite du prix qui peut etre verse, 
« revendent » les otages d des groupes qui les utiliseront politiquement ou 
pas. II s'agit d'un veritable marche aux otages avec sans doute des remises 
s'ils ne trouvent pas acheteur. 


Quant a I’intervention dans les societes au titre du blanchiment, les montages 
les plus usites restent assez quelconques. Depuis la filiale devoyee au blanchi- 
ment, dans laqueUe le gerant utilise sa societe comme outil de blanchiment, 
jusqu’a I’augmentation autorisee du chiffre d’affaires, tout est possible pour 
augmenter les produits si Ton n’est pas implique dans une demarche deonto- 
logique. Les pratiques sont simples : augmenter les resultats par des pseudo- 
ventes payees en especes (fausses factures a des societes ecrans en appui), ini- 
tier des flux de commande payees en avance et jamais livrees ou reahser des 
operations ponctuelles a forte marge. 

Pour celui qui travaiUe sans souci d’ethique, I’interet est fort : il est respecte, 
car n apporte un chiffre d’affaires considerable, allege des charges, et en retire 
des boni sur le chiffre d’affaires. De meme, le chantage, pouvant aUer jusqu’a 
la corruption du responsable financier, est tres recherche. 11 met en effet a 
disposition des blanchisseurs I’outil financier de la societe dans le but de ne 
pas attirer I’attention des services des banques. 

Le questionnement dans ce secteur pourrait etre le suivant. 


Les bonnes questions... 

1 . Au regard des donnees generates issues de la filiale : 

• A-t-on compare le chiffre d'affaires de la filiale et la remontee de tresore- 
rie et celui generalement constate dans le secteur ? 

• Les bons resultats sont-ils coherents avec ce qui est constate dans des 
situations similaires {benchmarking] ? 

• A-t-on identifie I'origine des remontees de tresorerie (dates, type de 
paiement, lieux, vente au detail) ? 

• Le constat est-il credible eu egard d I'experience locale ? .../... 
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2. Au regard des produits : 

• A-t-on pris le soin d'identifier les diverses sources de produits ou ceux 
dont la marge est la plus elevee ? 

• Ces produits sont-ils des localises ou specifiques ou pays ou se trouve la 
filiole, ou relevent-ils des ventes globoles du groupe ? 

• Constote-t-on une « tunnellisotion » de la gestion commerciole, du stoc- 
koge oinsi que de la tresorerie afferente d ces produits ou sont-ils geres 
normolement ? 

• Un directeur local est-il seui implique dons ces ventes ? 

• Ces produits sont-ils reellement en vente dons le pays concerne ou s'ogit- 
il d'une pure operation papier ? Pourroient-ils etre revendus dons 
d'outres structures comme des contrefopons ? 

3. Au regard des clients : 

• Qui sont les societes concernees ? Ont-elles une notoriete qui deposse le 
pays ou la ville concernee ? 

• Le chiffre est-il realise ovec une ou plusieurs societes ou ovec une multi- 
tude de societes qui se succedent tout ou long de la periode ? 

• Comment est effectue le poiement ? Suivont des normes clossiques ou 
de moniere otypique (poiement d'ovonce, pas de suivi des livroisons, 
pas de reclamation en cos de probleme, pas de controle produit) ? 

• Quel est le rapport du chiffre d'affaires du client ovec celui de la filiole ? 

4. Au regard des fournisseurs : 

• Constote-t-on une « tunnellisotion » du couple fournisseur/client ? 

• Quelle est la nature des societes fournisseurs (dote de creation, capitali- 
sation, etc.) ? 

• Comment gerent-elles leur focturotion (loisser-oller ou tres suivi) ? 

• Constote-t-on I'opporition de fournisseurs specioux (commissions, hono- 
roires, etudes) concomitonte ovec le developpement du chiffre d'affaires 
dons la societe ? 
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Pour conclure... 

Ces quelques lignes constituent un guide qui ne correspond en oucun cos d un code 
de pratiques exclusives. Il doit permettre d tout auditeur de se poser les questions 
pertinentes ou regard de la recherche des fraudes dans les conditions normales 
d'une gestion de filiales. C'est un simple outil dont la plus grande difficulty 
d'application reside dans la capacity d'adaptation de I'auditeur aux normes et d la 
lygislation locale. 
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Chapitre 1 0 

L'audit des fraudes 
sur les systemes d'information 

Par Francois Vidaux, 

Consultant 


L ’informatique constitue un formidable support pour des operations 
ffauduleuses et le phenomene ne fait que s’accelerer avec revolution 
des techniques et I’internationalisation des echanges. 

Au depart, les non inities avaient une peur viscerale de I’informatique, la 
« boite noire », et de la sorte, meme en cas de forte possibilite d’extension de 
marches, notamment a I’international, on hesitait, de peur d’etre « cyber 
viole », ou bien encore on instaUait des verrous partout, bloquant ainsi la cir- 
culation de I’information. Les relations internationales ne faisaient pas 
encore I’objet d’attaques suffisamment fortes pour inquieter : ce n’etait 
qu’un epiphenomene. Encore aujourd’hui, il est a no ter que des entreprises 
de taiUe importante ne souhaitent toujours pas s’ouvrir a I’exterieur. EUes 
continuent d’echanger par des moyens classiques. 

L’informatique ne represente qu’un moyen de commettre un debt ou une 
infraction il’homme n’invente rien, il profite juste de portes ouvertes. 

Les cibles sont aujourd’hui les relations commerciales entre entites et particu- 
liers, mais aussi les transferts de liquidites qui s’accelerent. La mondialisation 
des operations facilite de plus en plus la tache des fraudeurs et complique de 
ce fait ceUe des auditeurs, car les circuits deviennent tres complexes et la tra- 
^abilite des operations s’en ressent. 

L’espionnage econonnque (ou ingenierie sociale en informatique) constitue 
I’un des volets de la fraude sur les systemes d’information que nous aborde- 
rons plus loin. Celui-ci pent se traduire par des pertes de brevets, de marches, 
ou causer un serieux prejudice a I’entreprise par le biais de publicites men- 
songeres ou faUacieuses ou encore d’informations manipulees. 

Face a un groupe de taiUe importante avec des moyens sophistiques de com- 
munication, tout doit etre survehle. Le fraudeur peut s’introduire directement 
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dans I’entite de nombreuses manieres : via les postes de travail, les impriman- 
tes en reseau, par decouplageb 

Ce chapitre s’organise en deux parties. Dans un premier temps, il s’agira de 
mettre en evidence les enjeux, les objectifs et I’univers de la fraude sur les 
systemes d’information. Puis nous nous attarderons sur la detection et la pre- 
vention de la fraude sur les systemes d’information. 


Enjeux^ objectifs et univers de l^audit 
sur les systemes d^information 

Apres avoir precise les enjeux et les objectifs de ce type de fraude, il s’agira de 
preciser son univers dans les systemes d’information. 


Les enjeux et les objectifs de la fraude 

11 est necessaire de mettre en evidence les facteurs de risque de fraude, et de 
donner quelques elements de definition, avant d’enoncer les enjeux et les 
objectifs de ce type de fraude. 

Les facteurs de risque 

Le schema n° 1 represente les difficultes que Ton peut rencontrer pour suivre 
I’information. La refonte des processus et la sophistication des systemes cons- 
tituent des facteurs de risques extremement importants. 

Certains elements appellent des precisions. 

La refonte de processus, la reduction des delais de production 

Lorsque I’informatique n’existait pas, les processus restaient relativement sta- 
bles et les entites defmissaient des procedures et des modes operatoires cor- 
respondant a ces processus avec des points de controle interne classiques. 
Ceux-ci etaient relativement bien surveibes, notamment lorsque I’entite etait 
import ante. 

Aujourd’hui, les fusions, les absorptions, I’implantation de nouvelles machi- 
nes avec de nouvelles applications, de nouveaux logiciels ou progiciels, avec 

1. Cable place pres de I’un des cables recuperant les informations, qui perinet de les 
retourner modifiees dans le systeme d’information. 
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Mondialisation 
des marches 



Marches volatils 
Frontieres floues 
Aucune barriers 


Acceleration des 
changements 


Concurrence 

accrue 


V 

Acceleration des 
mouvements de fonds 
internationaux 



Refonte des 
processus 


Sophistication des 
systemes et 
notamment 
des reseaux 


Schema n” 1 - Les facteurs de risque de fraude sur les systemes d’information 


les ERP\ ainsi que la reduction des delais souvent imposee aux dirigeants ou 
responsables de la maitrise d’activite, font que Ton supprime des points de 
controle interne (informatique), bien souvent basiques. Ces controles inte- 
gres aux applications sont appeles controles programmes ou automatises, ou 
encore informatises. On omet meme de proceder a des balances carrees lors 
de la sortie d’etats (en comptabilite auxiliaire par exemple). 

Il n’existe pas d’inventaire de controles programmes par applications, logi- 
ciels, progiciels et autres ERP et lorsque Ton en parle, les interlocuteurs sont 
parfois surpris. Et pourtant, on les listait bien lorsqu’il s’agissait des controles 
internes classiques. Par aiUeurs, les controles, lorsqu’Us existent, ne sont pas 
documentes dans les programmes et I’auditeur est dans I’obligation de les 
rechercher un par un. 

Sophistication des systemes 

Les systemes sont de plus en plus sophistiques : gros serveurs (ou mainframe) 
interconnectes, serveurs classiques, reseaux de toute nature (a jetons, en 


1. Enterprise Resource Planning. 
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etoile, Ethernet...) connectes les uns aux autres avec de multiples portes 
d’entree ou de sortie vers I’exterieur, protocoles differents utilises, firewalls 
physiques et/ou logiques mal configures, captures de trames non realisees et 
surtout non analysees, etc. 

Meme les tres grandes entreprises n’arrivent pas a se proteger suffisamment, 
dans le cas d’intrusions internes, mais aussi externes, ce qui fait le bonheur 
des societes de consehs qui sont payees pour detecter des failles. 

Les donnees arrivent de I’exterieur et eUes sont traitees par un systeme et 
renvoyees vers un autre. Peut-on desormais suivre reeUement notre chere 
piste d’ audit ? 

Les tentatives d’intrusion realisees par des societes specialisees sont effectuees 
depuis des laboratoires externes avec soin. Cependant, les entreprises rechi- 
gnent a proceder aux memes operations en interne (sous pretexte de secu- 
rite), ce qui laisse des portes internes ouvertes (malveillance, fraudes, 
collusion, etc.). 

La bonne volonte des responsables de systemes d’information est evidente, 
mais comment proceder pour repondre aux voeux des auditeurs alors que les 
concepteurs des applications (et leurs proprietaires) n’ont pas defmi la piste 
d’audit des la conception et tout au long des differentes phases de developpe- 
ment jusqu’a la livraison et la mise en production, comme cela devrait etre 
systematiquement le cas ? 

Acceleration des mouvements de fonds 

Les fonds sont deja a I’etranger (paradis fiscal ou autres pays sans vrai 
controle), lorsque Ton s’aper^oit de la fraude (meme lorsque celle-ci est 
decouverte tres tot) et les montants sont importants. C’est la rapidite d’exe- 
cution qui est ici en cause. Les ordinateurs de plus en plus puissants permet- 
tent d’aUer tres vite, mais la contrepartie en termes de risques s’avere de table. 

Simplification administrative et dematerialisation des operations 

Bien sur qu’il convient d’eviter les tracasseries aux consommateurs et aux 
utilisateurs, mais encore faut-il envisager les preuves materieUes de fagon 
totalement differentes. Les entrees de donnees physiques doivent etre plus 
que jamais verifiees avant leur saisie. 

La demateriahsation des operations est encore plus deHcate, car tout individu 
(ou presque) se base sur des referents physiques. Void un exemple. 
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En pratique 

La dematerialisation des operations sur les notes de frais peut entramer des 
derives importontes. Un directeur general possedant une carte bancaire 
ovait I'habitude de se faire rembourser ses frais via I'opplication (absence 
de separation de fonctions) et sa carte bancaire (en direct). Sans croise- 
ment des informations (operation carte bancaire en comptabilite et opera- 
tion par le biais de I'opplication note de frais), il est difficile de detecter ce 
type de fraude. 


Elements de definitions 

Par fraude, nous entendons toutes les irregularites et tous les actes iUegaux 
commis avec I’intention de tromper. Elies peuvent etre commises pour le 
benefice de Porganisation ou a son detriment, tant par les employes de 
I’organisation que par des personnes exterieures (norme llA 1 210-A2-1). 

Cette definition est suffisamment large pour englober les relations interna- 
tionales et permettre ainsi des poursuites elargies. EUe peut s’appliquer a la 
fraude sur les systemes d’information, puisque les « irregularites » pourraient 
par exemple concerner la perte d’integrite d’informations ou impacter les 
aspects confidentialite des transactions operees. 

Existe-t-il une definition particuliere et legale de la fraude sur les systemes 
d’information ? En voici une approche implicite dans la loi dite Godffain 
(1988), laqueUe a fait I’objet d’amenagements depuis. Selon ceUe-ci, il s’agit 
de I’utilisation non autorisee des ressources du systeme d’information, 
conduisant a un prejudice evaluable de facon monetaire pour la victime, 
essentieUement par le detournement de biens (fonds, services materiels ou 
immateriels, informations) au profit du criminel. 

11 convient de noter ici qu’il existe une veritable confusion entre maitrise 
d’activite informatique et maitrise des systemes d’information. En effet, la 
premiere necessite des connaissances informatiques approfondies, alors que 
la seconde est a la portee des auditeurs internes non-informaticiens. 

Des lors, I’audit des systemes d’information axe sur la fraude sera plus simple 
a envisage!' que I’audit informatique. 

L’ audit technique d’une application (lorsqu’une fraude est envisagee) ne peut 
etre effectue que par un speciaUste, car dans bien des cas, il sera necessaire de 
connaitre le langage utilise, ainsi que les techniques de developpement 
employees. 
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L’audit classique d’une application (entrant dans le cadre des systemes 
d’information, lorsqu’une fraude est envisagee) est beaucoup plus simple a 
reaUser : Tapplication est placee en environnement de tests (ou encore 
d’integration) et Ton procede comme pour un audit classique. On passe en 
revue les entrees de donnees erronees : dates, montants, etc. On analyse ega- 
lement tons les journaux issus des traitements emis de fagon claire et lisible 
par la direction des systemes d’information (DSl : production, reseaux, 
administration de la securite, etc.). Cela n’empeche pas d’analyser les liens 
entre applications, logiciels ou progiciels, car cela s’avere indispensable pour 
la recherche de la fraude (analyse de la piste d’ audit ou « trail » et des regies du 
jeu, sur lesqueUes nous reviendrons plus loin). 

Les enjeux 

Les enjeux de I’audit de la fraude sur les systemes d’information sont multi- 
ples. Ce dernier permet de s’assurer que I’entreprise dispose d’un systeme 
d’information complet, protege de fa^ on efficiente (sans trous ou possibdites 
d’intrusions facilitees, etc.). 11 veiUe a ce que soit garantie une exceUente 
communication entre les systemes de fagon a eviter toute rupture ou altera- 
tion de la chaine de communication. 

Ainsi, la capacite de I’entreprise a supporter tout changement se trouve opti- 
misee. Sa credibilite, lorsqu’elle est amenee a mener des operations de 
rachats (absorptions) ou de fusions, ou bien lorsqu’elle est, eUe-meme, 
reprise, est confortee. Le risque penal pour I’entreprise et pour ses dirigeants, 
qui n’ont pas mis en place les protections indispensables, est evite. Sa survie 
est assuree apres un detournement de fonds : problemes lies aux montants 
detournes, mais egalement a la publicite negative que cela peut engendrer. 

Souvent, la tache la plus difficile a accomplir est de convaincre les differents 
responsables des differentes activites du risque de fraudes et surtout de les sen- 
sibUiser a ce type de risques. 11 convient egalement d’attirer I’attention de sa 
propre equipe d’ audit sur les risques de fraudes en partant de la cartographie 
des risques. Les entreprises restent souvent frileuses et ne souhaitent encore ni 
communiquer, ni incorporer dans leur plan d’audit les aspects fraudes. 


Les object! fs 

Les objectifs de I’audit de la fraude sur les systemes d’information se distin- 
guent tres peu des objectifs classiques d’audit des systemes d’information. 
Get audit consiste essentiellement a evaluer : 
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• les mesures de protection indispensables ; 

• le niveau de protection de I’ensemble du patrimoine de I’entite et notam- 
ment la totalite du patrimoine informationnel ; 

• I’adaptation de I’informatique a revolution technologique en maitrisant 
les couts et les risques de fraudes (ou tout du moins en les prenant en 
compte) ; 

• la protection des informations sensibles, notamment toutes ceUes qui vont 
deboucher sur des sorties de fonds de toute nature ; 

• la conformite a la reglementation en vigueur (piratage, CN1L\ etc.) ; 

• la maitrise de I’integration des systemes avec les risques de fraudes 
associees ; 

• la maitrise du reseau unique et/ou des reseaux integres ; 

• la maitrise des flux d’entrees externes, notamment en provenance d’lnter- 
net, et d’extranet. 

L’auditeur devra imperativement appliquer une methodologie en quatre 
etapes mettant en evidence les risques encourus et surtout permettant 
d’obtenir des preuves formelles et opposables. 

La premiere phase permet de determiner les principaux risques associes au 
systeme informationnel de I’entite en matiere de fraude, de blanchiment, de 
corruption. Cette etape est realisee soit par un departement specialise, soit 
par I’auditeur interne ou le responsable du controle interne. 

La deuxieme phase, eUe, determine les hens entre les appHcations (cartographies 
apphcatives) et les regies du jeu qui sont associees. Au niveau international, cette 
etape est d’autant plus significative que plusieurs cartographies apphcatives peu- 
vent cohabiter et qu’il est difficile de suivre la piste d’ audit {trail). 

La troisieme etape consiste a analyser les ERC (enjeux, risques, couts). Quel 
est I’enjeu d’une faille dans le systeme ? Par exemple, I’enjeu et le risque 
financier peuvent etre minimes, alors que I’impact en termes d’image est tres 
fort. Le cout associe au risque peut etre eleve et il conviendra de le prendre 
en compte. 

Enfm, la derniere etape analyse les elements DlC (disponibilite, integrite et 
confidentialite) des systemes d’information concernes. Ainsi, une indisponi- 
bihte d’un reseau ouvert pourra s’averer catastrophique pour une entreprise 
de vente internationale. De meme, lorsque I’integrite des donnees est com- 

1. Cette commission est chargee de veiller au respect des droits des personnes (informa- 
tions personnelles). 
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promise, les decisions seront faussees, voire impossible a prendre. S’agissant 
de la confidentialite, la diffusion d’informations pent mettre en peril I’exis- 
tence de fentreprise avant meme toute prise de decision. 

Comme pour la fraude classique, il est done indispensable de determiner les 
informations dont f auditeur doit disposer pour detecter les flux informa- 
tionnels suspects. Les elements suivants sont indispensables : 

* la cartographie des applications, logiciels et progiciels (avec les program- 
mes et leur importance) ; 

* les regies du jeu permettant de determiner comment les flux de donnees 
sont regroupes et entrent en comptabilite financiere ; 

* la cartographie des reseaux detaiUes, qui permet de determiner les types 
de reseaux pouvant etre impactes et surtout de suivre les flux d’informa- 
tions avec la determination des zones de fragilite ; 

* le plan du cablage, qui permet de se rendre compte si I’ensemble du 
cablage est bien protege. ; les bales de coaxiaux (arrivees et depart des 
cables) doivent etre particuUerement protegees. 


L'univers de I'audit de la fraude sur les systemes dlnformation 

Le schema ci-apres montre la complexite de I’audit de fraude sur les systemes 
d’information. En effet, cela pent concerner toutes les activites de fentreprise 
et ses ramifications Internationales. 

La difficulte majeure pour les auditeurs en systemes d’information est de 
conceptualiser I’ensemble des donnees que nous appelons I’Univers IT 
{Information Technology), e’est-a-dire d’extraire les tables essentielles a la 
demarche d’audit depuis l’univers de I’entite. 

Dans la mesure ou I’audit n’a pas cette vision globale (meme simplifiee), des 
zones d’ombre subsisteront et I’impact de I’audit sera bien amoindri. 

Lorsque la connaissance de cet environnement est de bonne qualite, I’impact 
de I’audit sera conforte et les risques seront automatiquement reduits. Les 
differentes recommandations emises et prises en compte rendront difficiles 
les intrusions ou les autres alterations du ou des systeme(s) d’information. 

La fraude peut intervenir des I’entree de I’information et a tout moment au 
cours des operations de traitements ou de sorties d’informations. L’auditeur 
devra done etre particulierement vigilant sur ces aspects. 

o 

@ 


iroupe Eyrolles 


['audit des fraudes sur les systemes d'information 251 




252 La mise en oeuvre d'audits specifiques en environnement international 


Fausses 

donnees 




Faux 

programmes 



Fausses 

donnees 




Schema n° 3 - Les niveaux d’intervention de la frauds sur les systemes d’information 


Les points d’accroche ou d’analyse essentiels pour I’auditeur sont alors les 

suivants : 

* les inventaires de toute nature (physiques, contrats informatiques, 
conventions inter entites, comptes bancaires, etc.) ; 

* les operations financieres de toute nature et les ratios ou benchmarks 
associes ; 

* les donnees (extractions a priori ou a posteriori) significatives pour I’entre- 
prise ou le groupe : par exemple, extraction des elements specifiques a la 
corruption dans un fichier fournisseurs a partir d’un logiciel dedie, 
« cadeau(x) — ristournes — rabais », doublons ou « triplons » de montants, 
rupture de sequencement des cheques emis ; 

* les donnees parametres et les fichiers reference — exemples de donnees 
parametres pour la paie : le plafond Securite sociale, les differents taux de 
prelevements ; 

* les incidents informatiques^ en production (f analyse s’effectue a partir de 
six questions que doit se poser I’auditeur : pourquoi ? qui ? quand ? ou ? 
quoi ? comment ?) ; 


1 . II s’agit de tout evenement pouvant avoir un impact sur le bon deroulement des pro- 
cessus informatises, par exemple, tine transaction n’aboutissant pas ou une application 
ne pouvant plus etre utilisee. 
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* les modifications d’applications et fimplantation des nouveUes « releases » 
(mises a jour des applications) ; 

* les reseaux et des interconnexions (qui necessitent des connaissances 
informatiques approfondies) ; 

* les tableaux de bord et de reporting ; 

* les operations elfectuees via I’intranet, I’extranet ou Internet (f analyse des 
protocoles Internet necessite egalement des connaissances informatiques 
approfondies) ; I’utilisation de logiciels de niveau d’acces a Internet de 
type Websense permet d’eviter la connexion a des sites « dangereux » ; 

* la messagerie en surveidant les entrees (notamment les fichiers attaches) ; 

* les logs (journaux) issus des logiciels ou des progiciels de securite ; 

* les matrices tridimensionneUes (tableaux reprenant les elements suivants : 
utilisateurs concernes, services et taches elfectuees) des habilitations pour 
determiner si la separation des pouvoirs/fonctions s’exerce correctement 
en matiere informatique. 


Detection et prevention de la froude 

Nous distinguerons les fraudes informatiques classiques des « cyberfraudes ». 


Les fraudes informatiques classiques 

II existe trois types de fraudes : manueUe (ou physique), organisee (ou en 
bande, et qui va concerner plus particulierement les entreprises implantees 
internationalement) et informatisee (qui peut bien entendu etre organisee en 
reseaux mafieux). Nous ne porterons notre attention que sur la ffaude infor- 
matisee. 


La fraude informatisee 

Celle-ci peut etre physique (detournements de materiels informatiques, par 
exemple), et le plus souvent logique\ c’est-a-dire a partir de programmes ou 
de modifications de traitements en production (f audit est alors affaire de spe- 
cialistes). L’ information est dans ce cas modifiee des son entree dans le 


1. Fraude sur les mots de passe utilises frauduleusement, sur les entrees dans le systeme 
d’information, par intervention directe dans les traitements informatiques, piratage a 
partir du Web, etc. 
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systeme d’informations (elle peut etre physique, c’est-a-dire papier : piece 
justificative de toute nature falsifiee, etc.), au cours de son transit (modifica- 
tions de programmes, trojan^, bombes logiques", etc.), et a sa sortie (par le 
biais de 1’ exploitation^). Cette information de sortie peut constituer une 
entree dans un nouveau reseau connecte et le cycle recommence. 

L’impact sur les echanges internationaux peut etre considerable. Une 
mefiance quasi maladive s’est installee depuis les derniers scandales financiers 
qui ont defraye la chronique (Enron, Parmalat, etc.). L’outil informatique 
devient une « arme de destruction massive » ou de transformation des don- 
nees echangees. Est-ce le bon inteiiocuteur ? Les e-mails req:us proviennent- 
ils de la filiale d’Europe de I’Est ou d’aiUeurs, apres avoir ete modifies ? 
L’information qui a transite via le Web n’a-t-eUe pas ete interceptee lors de 
son passage aux Etats-Unis ? 

Le schema ci-apres montre que la circulation de I’information est totalement 
imprevisible sur la Toile et done incontrolable. 

La securite des systemes d’informations coute de plus en plus cher et les bar- 
rieres ne sont jamais infranchissables (firewalls'^, serveurs vides ou miroirs^, 
etc.). Nous en voulons pour preuve la multipbcation des cabinets qui propo- 
sent de tester les securites implantees dans les systemes d’information (tenta- 
tives d’ intrusions) avec plus ou moins de succes. 

Les donnees peuvent etre cryptees et une demande de rancon est alors exigee 
pour pouvoir les recuperer, d’ou I’existence de BCP (Business Continuity 
Plans, i.e. des plans de continuite informatique et utHisateurs) qui prevoient 
des sauvegardes de plus en plus frequentes et une imbrication des BCP entre 
eux (Paris avec Londres ou New York). 

Ainsi, le cout des mesures de protection peut s’averer un frein aux echanges 
entre partenaires ou associes. 


1 . Cette technique sera decrite plus loin. 

2. Cette technique sera decrite plus loin. 

3. Les personnes en charge de la production informatique modifient des programmes ou 
interviennent lors des traitements. 

4. Litteralenient « murs de feux ». II s’agit d’une protection par logiciel du poste de travail 
pour en interdire I’acces. 

5. Ordinateurs ne comportant que la « copie » des elements indispensables pour un utili- 
sateur externe : ils ne sont pas relies a I’ordinateur principal. 
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Schema n° 4 - L’imprevisibilite et I’incontrolabilite de la circulation de I’information 

sur le Web 


Comment reagir ? 

Doit-on revenir pour autant aux bonnes vieilles methodes de 
communication ? Le retour en arriere est aujourd’hui impossible, compte 
tenu des decisions qui doivent etre prises presque instantanement parfois, car 
le retard pent entrainer la perte d’un marche. 


En pratique 

La dematerialisation a certes entrame une recrudescence de la fraude (la 
facture, les notes de frais), mois le support fovori des fraudeurs oujourd'hui 
est Internet (le reseau des reseaux). Les pirates fen anglais : hackers ou 
crackers) utiliseront des supports specifiques, conpus par eux ou mis d leur 
disposition sur des sites qui proliferent sons probleme (en toute illegalite, 
cor le droit local est le plus souvent impuissant) : logiciels de piratage ou 
d'attaque, logiciels permettont de retrouver des codes, des fichiers, de 
dupliquer (sons vergogne). 
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Les menaces les plus courantes peuvent etre les suivantes : 

* copie et duplication de fichiers (confidentiels, sensibles, ou a donnees 
permettant d’obtenir des fonds) a distance (la technique sera expliquee 
plus loin) ; 

• attaques de virus\ vers^, chevaux de Troie^, etc., qui peuvent detruire, 
deteriorer les fichiers, mais qui jouent aussi un role d’espion et permet- 
tent a un hacker de s’introduire dans une entreprise pour obtenir des infor- 
mations specifiques ; 

• modifications ou destructions de sites Internet"^, suivant le type de protec- 
tion dont on dispose) ; 

* detournements et/ou modifications de virements (directement ou via la 
technique du salami que nous evoquerons p. 257) a destination de pen- 
sionnes, de beneficiaires de prestations de toutes sortes, etc. ; 

* « fausses vraies » commandes de materiels ou de logiciels (ou autres 
consommables) via Internet avec de vrais faux numeros de cartes bancaires 
ou a partir d’informations figurant sur une ou des cartes bancaires 
derobees ; 

• detournements ou ecoute de communications telephoniques (intelH- 
gence economique) ; « branchement » sur la ligne pour ne pas payer les 
communications ; 

• copie pour ses propres besoins de fichiers ou d’applications appartenant a 
une entreprise ; 

* piratage de logiciels et revente sur des marches paraUeles. 

La detection et I’eradication peuvent etre relativement simples dans le cas de 
structures classiques (mono societes), mais devenir complexes pour des struc- 
tures a multiples societes, maisons meres et fiUales, succursales, etc. Les 
reseaux sont complexes, les systemes d’ exploitation communiquent tres mal 
entre eux, et les logiciels ou progiciels de securite sont quelquefois tres diffe- 
rents d’un etablissement a un autre. 


1 . Cette technique sera decrite plus loin. 

2. Cette technique sera decrite plus loin. 

3. Cette technique sera decrite plus loin. 

4. La modification ou la copie de sites Internet est relativement simple a realiser pour un 
specialiste puisque les sources du site sont accessibles a partir du navigateur. II suffit 
ensuite de donner au site copie le menie nom, mais avec un suffixe different : par 
exemple argonaute.fr devient argonaute. com . 
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Certains groupes confient leur systeme d’information a des SSII\ mais 
n’assurent pas la surveillance indispensable a toute delegation (clause d’audi- 
tabdite^ absente) . La plupart du temps, les tableaux de bord de securite ne 
sont pas tenus, les firewalls ne sont pas a jour, les applications perdent leurs 
controles programmes au hasard d’une simplification administrative ou d’une 
refonte de processus. 

Les auditeurs detiennent un role delicat, car ils sont appeles a connaitre les 
differentes menaces pesant sur les systemes d’information et ne disposent pas 
de toutes les armes indispensables a leur function, ne serait-ce qu’un simple 
outil d’extraction et d’analyse de donnees. 

L’auditeur doit refiechir a la maniere dont toute fraude peut se produire et 
capitaliser sur les fraudes qui se sont deja produites (voir la fiche technique de 
detection de fraude ci-apres). 

11 doit donner un avis motive avant la mise en place des applications sur les 
controles mis en place (controles programmes ou automatiques et planifies : 
verification des RIB par exemple, des cles^). 11 doit etre I’instigateur de la 
politique de securite sans en etre le maitre d’oeuvre et en suivre les progres. 

Void un exemple de « Fiche Technique de Detection de Fraudes » sur la 
« technique dite du salami ». 


La technique dite du « salami » 


Date : 


Axe de 
recherche 

Domaine 

Risque 

interne 

Risque 

externe 

Source detectee 

informatique 

Logiciels et 
progiciels 

Oui 

Non 

Adjonction et/ou modification d’un ou plusieurs 
programmes 


Impact : +++ ++ + 


Probabilite de survenance : +++ ++ + 


Niveau de risque : +++ ++ + 


1 . Societe de Services Informatiques 

2. Clause precisant que le fournisseur accepte, dans le cadre du contrat, toute mission 
d’audit sur pieces ou sur pieces et sur place. 

3. La cle ou modulo est un algorithme qui permet de determiner si le RIB est correct. 
Une cle peut etre utilisee dans d’autres domaines, notamment le NIR ou nuniero 
INSEE (matricule utilise par la Securite sociale). 
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Descriptions/Faits : 

[H>Tout en maintenant le meme nombre cooperations et le meme montant, la technique du 
« salami » consists a porter a son credit, ou a celui d’un tiers complice, une partie de la 
somme (example d’arrondis : allocations, paie, prestations, etc.). 


Partie prenante interne au risque envisage : 


Partie prenante externe au risque envisage : 


Les differents moyens 

Efficacite/Cout 

+ 

= 

- 

Moyens de detection classiques : 




[x> Non-respect des procedures de mise en production ou modification de 




programmes 

+ 



[x> Analyse periodique par I’audit des incidents « securite » (cahier ou 



- 

enregistrement specifique) 




[H> Totalisation de toutes les zones de virement ? 

+ 



[H> Listing de controle des virements, reflet des operations effectuees 

+ 



(sondage) 




[x> Liste d’alerte (m/m-1) - montants superieurs a un parametre 

+ 



Moyens de prevention classiques : 




[H> Separation stricte des fonctions entre Etudes et exploitation 




[H> Tragage de toute modification effectuee sur les programmes 

+ 



[x> Procedure stricte de mise en production ou de modification des 

+ 



programmes ; validation de cheque operation 




[H> Cryptage des donnees - collaboration forte avec la banque (alerte si n 

+ 


- 

fois le meme virement au meme RIB ou montant anormalement eleve) 




[H> Compression des donnees 




[H> Regies strictes de controle interne - controle interne performant 

+ 



Moyens de dissuasion : 

+ 



[H> Publicite (sans detail) sur les moyens de prevention mis en oeuvre 

+ 



[H> Controle permanent des procedures et des risques (CPPR) 

+ 



[E> Communication interne sur la securite au moyen du controle interne 

+ 




Les « cyberfraudes » 

Les entreprises de taille moyenne sont encore beaucoup moins sujettes a des 
attaques par « cyberfraude ». L’adage « pour vivre heureux, vivons caches » 
est de mise. En efFet, les groupes internationaux connus et surtout ceux dans 
lesquels il existe des mines fmancieres interessantes vont etre la cible des 
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cyber pirates. La petite PME du coin de la rue n’interesse pas le hacker, ou le 
cyber fraudeur. Celui-ci recherche en effet un profit immediat et va done 
jouer sur la rapidite des echanges et sur leur fragiUte a un moment donne. 11 
va done s’en prendre aux banques, aux etablissements financiers, aux compa- 
gnies d’assurances et a d’autres grands groupes. 

Cependant, etant donne I’aprete constatee pour I’appropriation de parts 
de marches ou de ressources energetiques, le terrain de chasse du fraudeur 
s’est deplace. On s’interesse desormais aux brevets deposes, aux savoir- 
faire technologiques, et bien sur, encore une fois, les cyber pirates sont a 
I’affut, car tout a un prix de vente. L’espionnage informatique n’est pas un 
vain mot. 

Les « cybeiiraudes » portent des noms barbares et suivent la mode de I’angU- 
cisation de toutes les techniques portant atteinte aux systemes d’information 
pour des raisons ludiques, manicheennes et financieres. 


Les differentes techniques d'intrusion debouchant sur des fraudes 

On distingue differentes techniques, que nous aUons decrire ci-apres : Lutili- 
sation du fichier core, le captage de moniteur ou de clavier, le decouplage, le 
sniffing, le phishing, le spoofing, le flooding, le TCP-SYN Flooding, le smurf, le 
debordement de tampon, les virus, les vers, les chevaux de Troie, les bombes 
logiques, les hoax, les backdoors, I’ingenierie sociale, enfin les logiciels d’atta- 
que et de piratage.Toutefois, notez que cette hste est loin d’etre exhaustive. . . 

Le fichier core 

Les mots de passe sont stockes sur les postes de travail dans un fichier 
denomme « core ». 11 suffit de recuperer les mots de passe via un mini-pro- 
gramme qui transformera les donnees en clair. 

Le captage de moniteur ou de clavier 

Cette operation ne pent etre effectuee que par des professionnels du rensei- 
gnement, mais il n’est pas tres difficile de se procurer a I’etranger le materiel 
adequat (boitier avec capteur orientable). Le capteur est oriente vers la 
source d’emission et, au fur et mesure, s’affichent sur le terminal les informa- 
tions apparaissant sur I’ecran capte et les donnees ffappees sur le clavier capte 
(on pent ainsi detecter les mots de passe et autres informations circulantes) . 
La protection necessite des moyens couteux (murs doubles, systeme de 
detection, etc.). 
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Le decouplage 

Lorsque Ton branche deux lignes electriques cote a cote sur une prise don- 
nee, un efFet de decouplage se produit. Les informations envoyees (sous 
forme de differents rayons electriques) par la premiere ligne se repercutent 
sur la seconde (en parallele). Les deux lignes ne sont bien sur pas reliees 
physiquement. On pent done enregistrer sur I’une des deux lignes les infor- 
mations qui circulent sur fautre. L’information peut alors etre piratee. Pour 
se proteger, il est indispensable de tenir a jour un inventaire exhaustif du 
cablage et d’utiliser des cables de bonne quaUte (blindage, fibre optique, etc.). 
Une economie sur cet aspect peut s’averer catastrophique. 

Le sniffing^ 

Un logiciel denomme « sniffer » se trouve a la base de cette technique. Ce 
logiciel est tres utile pour les administrateurs de reseaux (notamment pour 
surveiher et detecter les problemes). Les pirates {hackers, crackers, etc.) se ser- 
vent de cet outil pour detecter et recuperer les mots de passe. 

Lorsque la connexion s’effectue sur un reseau, I’ensemble des donnees se 
retrouve sur toutes les cartes reseau des postes de travail intelligents connec- 
tes. Les trames que les differentes cartes recoivent sont interceptees (y com- 
pris ceUes qui ne concernent pas son propre poste de travail). Des qu’un 
utilisateur se connecte, son mot de passe est detecte, car il est juste a cet ins- 
tant en clair. 

Pour se proteger du sniffing, il convient de limiter la taiUe des sous-reseaux 
internes (avec le wifp', la protection est beaucoup plus difficile) et de les sepa- 
rer par des switches^. 

Le spoofing'* 

Le fraudeur ou le pirate se fait passer pour un autre ordinateur en trafiquant 
(modifiant) son adresse IP^ (protocole Internet a chiffres). Cette technique 


1 . Litteralement : reniflement. 

2. Wireless file : sans fil. 

3. Equipement reseau permettant I’interconnexion d’equipements informatiques en 
reseau local optimisant la bande passante. 

4. Traduction franqaise : parodie, canular. 

5. Tous les ordinateurs connectes a Internet ont une adresse composee de quatre nombres 
separes par un point. Cette adresse est obligatoire pour acceder a un ordinateur/ser- 
veur et naviguer sur un reseau. 
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est assez compliquee et il convient pour la comprendre de connaitre le pro- 
tocole TCP ^ 

Le pirate choisit le serveur a attaquer et essaie d’obtenir le maximum de 
details sur celui-ci : ordinateurs autorises a se connecter, ceux ayant des 
droits importants. 11 convient de ne jamais laisser trainer des schemas de la 
configuration informatique qui constituent une aide precieuse pour les hac- 
kers. Cette partie est logique. Si aucun ordinateur n’est autorise a se connec- 
ter en racine, I’attaque cesse. 

En regie generale, le pirate laisse une backdoor^ avant de se retirer pour pou- 
voir se reconnecter a tout moment. Cette backdoor lui permettra de revenir 
plus tard sans probleme. 

Le hacker vise a recuperer les donnees pour deviner les numeros de sequence- 
ment. Le but est d’ouvrir la connexion. 

Le flooding 

On envoie a un serveur determine une multitude paquets IP (voir 
reference 21 plus bas) de tres grosse taiUe. Le serveur « cible » ne pent pas 
tons les traiter et finit par se deconnecter du reseau. 

lei, une excellente communication (ping) entre Pordinateur pirate et le ser- 
veur est necessaire : les donnees sont envoyees plus vite que la vitesse a 
laqueUe le serveur peut repondre. 

Le TCP-SYN Flooding 

11 s’agit d’une variante du flooding qui s’appuie egalement sur le protocole 
TCP. On envoie a un serveur (SYN) determine un grand nombre de 
connexions a partir de plusieurs machines ou encore d’un seul ordinateur 
qui falsifie son adresse IP (utilisation de la technique dite du spoofing) . 

Le serveur envoie un tres grand nombre de paquets SYN-ACK et attend en 
reponse ACK, qui ne viendra jamais, bien entendu. 


1. TCP/IP : ensemble de regies permettant a des ordinateurs de communiquer entre 
eux. Le protocole de controle de transmission (TCP) et le protocole Internet (IP) per- 
mettent la communication entre ordinateurs. 

2. Port laisse ouvert sur un ordinateur servant de porte d’entree a un pirate (cette techni- 
que sera decrite plus loin). 
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Le debordement de tampon 

Cette technique est basee sur les failles du protocole IP. Le pirate envoie a 
I’ordinateur ou au serveur cible des donnees d’une taiUe tres superieure a la 
capacite d’un paquet. Le paquet est alors fractionne pour I’envoi et assemble 
par I’ordinateur ou le serveur cible. Ainsi, il y aura debordement des variables 
internes. L’ordinateur pent ainsi se bloquer, redemarrer ou encore ecrire du 
code en memoire. On pent done modifier directement le code des program- 
mes de la machine. 

Les virus et les vers 

Le nombre de virus et leur variete etonnent, mais ils sont hes a la capacite 
d’invention de leurs createurs. On en compte presque 100 000 aujourd’hui 
et n s’en ajoute chaque jour. II s’agit d’un programme cache dans un autre et 
qui s’execute et se reproduit en polluant d’autres programmes ou d’autres 
ordinateurs. 

Les problemes poses vont du plus simple — multiplication des fichiers, modi- 
fication de la date du systeme, message hilarant — au plus grave - reformatage 
du disque dur sans pouvoir arreter I’operation. On les classe suivant leur 
mode de multiphcation ou de reproduction. 

Le ver (variante du virus) designe pour sa part un programme qui se repro- 
duit et se deplace sur le reseau sans aucune intervention. Actuellement, les 
vers se developpent surtout via la messagerie. 11s reperent les differents con- 
tacts d’une personne et leur envoient le mini-programme sous forme de 
piece jointe. II faut done ouvrir cette derniere pour etre poUue. 

II est assez difficile de se proteger ou d’eradiquer les vers. 11 vaut done mieux 
ne pas ouvrir les fichiers joints sans reflechir. On pent ainsi analyser les 
extensions. En effet, les suffixes .txt, .jpg, .gif, .bmp ou .avi ne peuvent pas 
contenir de virus ou de vers : on ne les execute pas, on se contente de les 
ouvrir. En revanche, les fichiers avec les suffixes .exe, .com, .bat, .vbs ou .pif 
peuvent contenir des vers ou des virus. Les fichiers contenant des macros VB 
(Word, Excel, PPT, etc.), eux, sont facilement transformables et infectes, 
mais on les considere souvent comme inoffensifs, ce qui est une erreur (sauf 
si on a desactive les macros dans les programmes correspondants) . 
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Le cheval de Troie^ 

II s’agit de programmes engendrant des failles dans les systemes et permettant 
I’entree des fraudeurs. L’ expression « cheval de Troie » est empruntee a la 
Grece antique. 

Lors de I’ecriture on de la modification d’un programme, on introduit des 
instructions non apparentes, et accessibles aux seuls inities a I’aide d’un fait 
declencheur (code, date, arret systeme). Ces instructions peuvent avoir pour 
effet le declenchement de virements non autorises, de destructions ou de 
modifications ffauduleuses de donnees et/ou de programmes. 

La detection est une operation tres proche de ceUe de la detection des virus. 
D’aiUeurs, la plupart des antivirus assurent egalement la detection des che- 
vaux de Troie. En somme, I’ennemi est dans la place. Il pent en profiter, 
notamment pour frauder. 

Il convient id de proceder a une analyse detaiUee des ports (« port scan ») . 
Pour transmettre les donnees, ces espions doivent utiliser une connexion 
reseau quelconque. Le « port scan » recherche les donnees defectueuses sur 
une connexion et detecte ainsi une activite cheval de Troie. Le cheval de 
Troie laisse egalement une trace dans la base de registre du systeme d’exploi- 
tation. Lorsque Lon connait le nom, il sufht d’aller dans « Demarrer, Execu- 
ter et Rechercher le nom », puis on le detruit. Mais, attention ! La base de 
registres est assez delicate a manipuler et on pent perdre des informations 
sensibles et capitales. Les chevaux de Troie doivent etre elimines des leur 
decouverte. 

Les bombes logiques 

Il s’agit de dispositifs programmes, dont le declenchement s’effectue a un 
moment determine en exploitant la date et I’heure systeme (le plus souvent), 
une commande quelconque ou encore un appel systeme. EUes sont prati- 
quement invisibles tant que la condition n’est pas respectee. Il existe par 
exemple une bombe appelee de diverses manieres et qui pent aller jusqu’a 
for mater le disque a une date determinee. 

L’action de la bombe logique est tres variee : utilisation intempestive des res- 
sources, destruction de tables et de fichiers, creation de failles systemes, utili- 
sation anormale de la machine pour permettre le spoofing, recuperation des 
numeros de hcences, numeros de serie, etc. L’evenement declencheur peut 


1. En anglais : Trojan. 
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s’averer tres divers : delai de x jours ou d’heures apres I’installation, date spe- 
cifique, disparition d’un compte, inactivite de I’ordinateur. Une bombe peut 
ainsi etre cachee dans un economiseur d’ecran et ne se lancer qu’apres un 
temps de veille. La detection et I’eradication s’efFectuent egalement a partir 
d’un antivirus qui integre les difFerents aspects. 

Les hoax 

Ce sont des canulars ou des messages a transmettre en serie envoyes par mes- 
sagerie. En principe, ils ne sont pas nuisibles pour I’ordinateur. En revanche, 
ils saturent les reseaux compte tenu de leur propagation massive. 11s surchar- 
gent egalement les boites aux lettres et propagent la desinformation ou cons- 
tituent des supports interessants pour les sectes de toutes sortes. Ils peuvent 
egalement servir de base a un virus, a un ver ou a des chevaux de Troie ou a 
une chaine de messages. Ils demandent qu’on les envoie a toutes les person- 
nes connues et ceUe qui les revolt peut etre menace de mille foudres en cas de 
non-redifFusion. 

Avant de Faire suivre un tel message, il convient, bien entendu, de s’assurer de 
son authenticite. 11 importe done de rechercher sur Internet les petits utilitai- 
res permettant de s’en debarrasser. Ils sont Fort nombreux. 

Les backdoors 

11 s’agit de portes d’entree laissees par les hackers, crackers et autres pirates 
qui leur permettent de reprendre Facilement le controle d’un ordinateur. 

Deux possibilites se presentent : une seule backdoor bien cachee ou un 
grand nombre, dans I’espoir que I’une au moins d’entre elles ne sera pas 
detectee. Certaines backdoors ajoutent tout simplement un nouveau 
compte au serveur avec le mot de passe choisi par le pirate. 
D’autres backdoors modiFient le firewall pour qu’il accepte une adresse IP 
definie (une que le pirate pourra « spooFer » Facilement). On perd ainsi le 
controle total de son ordinateur ou du serveur. Le pirate peut alors recu- 
perer les donnees qu’il souhaite, voler des mots de passe ou meme detruire 
ou modifier des donnees a son profit. 

Les backdoors sont assez difficiles a detecter. 11 convient de surveiller les ports 
ouverts et de se preoccuper de tout comportement inhabituel de I’ordinateur 
(lenteur d’execution ou au demarrage, etc.). Evitez de telecharger n’importe 
quel programme, car il peut contenir une backdoor voulue ou non par le con- 
cepteur/createur du (ou des) programme(s). 

o 
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L’ingenierie sociale 

Cette technique est utilisee pour se faire passer pour quelqu’un d’autre (en 
general un des administrateurs du serveur que Ton veut pirater) et demander 
a I’ordinateur des informations personneUes (logins, mots de passe, acces, 
numeros, telephones, donnees, etc.) en inventant un quelconque motif 
(« plantage » du reseau, modification de celui-ci. . Elle se fait soit au 
moyen d’une simple communication telephonique, soit par message. L’inge- 
nierie sociale (social engineering) ne constitue pas une attaque informatique, 
mais plutot une methode pour obtenir des informations sur un systeme ou 
des mots de passe. Cette attaque peut etre utilisee en matiere d’inteUigence 
economique, d’espionnage technique ou financier. 

Pour eviter I’ingenierie sociale, il ne faut pas communiquer de donnees per- 
sonnelles a des personnes dont on n’est pas sur de I’identite (une adresse 
e-mail n’est pas un moyen fiable d’identifier une personne). De plus, un 
administrateur n’a pas a demander un mot de passe ou un login, le premier 
etant prive et le second deja connu de celui-ci. Enfin, il convient de ne 
jamais communiquer de donnees importantes par e-mail. 

11 est enfin conseiUe de crypter les donnees transmises par messagerie au 
moyen d’un logiciel de type AX CRYPT, LAN CRYPT, SECURITY 
BOX\ etc. 

Les logiciels d’attaque et de piratage 

11 suffit de se connecter a Internet et d’aUer sur les moteurs de recherche 
comme Google, Yahoo! ou Altavista pour trouver ce type de programme. 
Attention ! Les connexions a certains sites laissent des traces sur I’ordinateur 
et laissent la porte ouverte a des intrusions de toutes sortes, sans compter les 
pubhcites douteuses. 

Les fraudes via les cartes bancaires 

Ce type de fraude peut revetir de nombreuses variantes. Nous n’analyserons 
que les aspects informatiques ou ayant des consequences sur le systeme 
d’information. Le tableau ci-apres recapitule les differentes techniques. 


1. Logiciels de cryptage (les donnees de toute nature sont cryptees) : certains retirent les 
caracteristiques du fichier. Le type de programme utilise pour lancer le fichier ne peut 
pas etre determine. Exemple : .doc devient 1H2C42. 
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Tableau n” 1 - Les differentes fraudes via les cartes bancaires 


Techniques 

Expiicitations 

Faux clavier, fausse fagade de distrlbuteur 
automatlque de billets (DAB), faux dlstribu- 
teur 

Mise en place de fausses fagades de lec- 
teurs. Cette technique est connue sous le 
nom de « collet marseillais ». File s’est 
etendue par la suite aux autres regions, 
ainsi qu’aux pays voisins. Des systemes de 
protection physiques et discrets sent pro- 
poses par des entreprises specialisees. 

Interception des codes bancaires (secrets) 
au niveau des nceuds interbancaires 


Fabrication de fausses vraies cartes a 
puce 

A partir de numero a seize chiffres et code 
confidentiel a quatre chiffres. 

Clonage de cartes a puce 


Duplication de la propre carte a puce de 
I’utilisateur 

Greffe d’une autre puce sur une carte ban- 
caire existante ou sur une fausse carte 
bancaire. 

Yescard methode dite Humpich 

La technique dite Humpich est basee sur 
une inversion des algorithmes de cryptage. 
A partir de cela, il est possible de fabriquer 
des cartes en les programmant. 

Methode dite de I’ceuf dur 

File consists a prendre une carte a puce 
dont on ne connait pas le code confidentiel 
et a I’immerger brutalement dans de I’eau 
bouillante. N’importe quel code serait lu 
par la carte. Mais cela ne fonctionnerait 
pas en permanence et paraTt un peu 
curieux et hasardeux. 

Timing attack 

Cette attaque a pour but de limiter le 
domains des cles a explorerv/a une crypta- 
nalyse classique. File est assise sur un 
principe simple : connaitre le temps neces- 
saire pour effectuer des chiffrements ou 
des dechiffrements (I’algorithme utilise est 
connu). File peut permettre de cibler plus 
facilement la longueur de la cle utilises et 
ainsi gagner des facteurs supplementaires 
lors de I’attaque. 

Simulacre de carte a puce avec un numero 
de porteur existant (consentant ou non) 
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Techniques 

Explicitations 

Simulacre de carte a puce avec numero 
di'utilisateur inexistant (Yescard methode 
Humpich) 


Vol de carte declare immediatement apres 
un achat en ligne 

Autovol 

Code « devine » ou « trouve » 

Via des logiciels specifiques ou a partir de 
programmes ecrits par un pirate. 

Interception des communications DAB 

Captage de moniteur ou de clavier (inter- 
ceptions electromagnetiques). 

Interception d’echanges d’informations 
bancaires : numero de carte, codes (peu 
souvent via des informations figurant sur 
les fax, messages Internet, entretiens tele- 
phoniques, courriers, etc.) 

Simulacre de carte a puce avec numero de 
porteur existant, mais non-consentant. 

Transcodage des informations de la puce 
vers une piste magnetique (grace a I’inter- 
ception du code confidentiel) depuis un ter- 
minal de commergant via le site Web ou a 
rinterieur de I’entite. 

Virus, vers, ou autres chevaux de Troie per- 
mettant de passer des transactions supple- 
mentaires au profit du hacker. 



Toutes ces techniques n’ont qu’un but : soutirer de I’argent a une personne 
physique, a une entite on a un groupe d’entites. 

Le role des auditeurs dans le domaine de la « cyberfraude » est relativement 
complexe, car la prevention necessite des connaissances approfondies en 
informatique qu’il convient de mettre a jour en permanence. Cependant, 
I’auditeur doit imperativement se tenir informe des « nouveautes » dans le 
domaine afin de prevenir sa direction des dangers encourus. 

11 sera possible alors de faire appel a des specialistes, on mieux encore dans les 
grandes structures Internationales de former des auditeurs a ce type d’audit 
complexe. 
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Pour conclure... 

Se proteger de la fraude sur les systemes d'informations releve du parcours du 
combattant. A titre d'exemple simple, la fraude peut intervenir via un virus, un ver, un 
cheval de Troie et une bombe logique. Pour se proteger de ceux-ci, un seui antivirus 
ne suffit pas. En effet, dans de nombreux cas, les intrus ne sent pas detectes. 

La protection doit s'envisager des la conception des applications lorsqu'elles sent 
uniquement destinees d un usage interne {via un intranet ou les reseaux classiques), 
mais a fortiori lorsqu'elles vont avoir une connectivite avec I'exterieur (Internet, 
Extranet). Ceci concerne encore plus les entreprises de taille internationale. 

Bien entendu, il convient de disposer d'antivirus couples d des pare-feux de qualite 
{firewalls}, qui doivent etre physiques et logiques. 

L'intranet doit etre egalement protege, tout comme et a fortiori les echonges ovec les 
fournisseurs, les clients, les instances de tutelle ou outres (extranet). 

Il convient d'orgoniser des niveoux d'occes d Internet et egalement de ne pos loisser 
de portes ouvertes (ports d'entree d surveiller). 

Lo securite logique' doit done etre envisogee ovec serieux, de meme que lo securite 
physique. Il est important de se doter d'un comite de securite et d'un ou plusieurs 
responsoble(s) de lo securite des systemes d'informotion. 


o 

@ 


1 . Elle concerne notamment les acces aux ordinateurs par code utilisateur et profil associe 
(droits) et mots de passe, les aspects securite des traitements en production, etc. 
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Chapitre 1 1 


Audit social : fondements, 

methodologie 
et evolutions strotegiques 

Par Julie Tixier, 

MaTtre de Conferences d I'Institut d'Administration des 
Entreprises (lAE) de I'Universite Fronpois-Robelais 

de Tours 


L ’objectif de ce chapitre est a la fois de definir I’audit social et ses enjeux 
et de contextualiser ces elements dans I’environnement actuel des mul- 
tinationales. Dans ce cadre, nous definissons dans un premier temps les com- 
posantes de I’audit social, pour en detailler les roles et pour en preciser la 
methodologie. Dans un second temps, nous analysons les problematiques de 
I’audit social dans un contexte international, pour en specifier les enjeux au 
sein de multinationales et les liens avec le concept de responsabhite sociale de 
I’entreprise. 


Laud it social : fondements^ roles et composantes 

Avant de preciser les differents types d’audits sociaux ainsi que leurs roles et 
fmalites au sein des entreprises et plus specifiquement des multinationales, 
nous allons definir le concept d’audit social et revenir brievement sur son 
origine. 


L'audit social : quelle utilite pour I'entreprise ? 

L’ audit social peut se definir dans un premier temps comme une dechnaison 
sociale de l’audit operationnel. 11 constitue I’etude des elements sociaux de 
I’entreprise. 
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Definitions de I'audit social 

Comme le definit Jean-Marie Peretti sur le site Internet de I’lnstitut d’ Audit 
Social (IAS)\ « V audit social regroupe les formes d’ audit appliquees a la gestion et au 
mode de fonctionnement des personnes dans les organisations qui les emploient ainsi 
qu’aujeu de leurs relations internes et externes ». Cela signifie que I’audit social a 
pour perimetre I’ensemble de I’entreprise et de ses relations a la fois en interne 
(relations des salaries entre eux, relations hierarchiques, etc.) et en externe 
(relations de I’entreprise avec les difFerentes parties prenantes identifiees teUes 
que les actionnaires, I’Etat, les fournisseurs, etc.). 

Cette notion de parties prenantes est mise en exergue par d’autres auteurs 
lorsqu’ils defmissent I’audit social. Ainsi, Conibemale et Igalens (2005) analy- 
sent le concept d’ audit social, en specifiant qu’d s’agit d’une « forme d’observa- 
tion qui tend a verifier qu’une organisation a effectivement realise ce qu’elle dit avoir fait, 
qu’elle utilise au mieux ses moyens, qu’elle conserve son autonomie et son patrimoine, 
qu’elle est capable de realiser ce qu’elle dit vouloirfaire, qu’elle respecte les regies de I’art et 
salt evaluer les risques qu’elle court. » 

Les auteurs insistent sur plusieurs elements de la definition. Tout d’abord, ils 
soulignent le caractere inductif de I’audit social qui part des faits et de la rea- 
lite sociale de I’organisation lorsqu’ils evoquent la « forme d’observation ». 
Ils precisent egalement la difficulte de recueil des donnees sociales au sein des 
entreprises ou le perimetre de I’audit social difiere des perimetres usuels de 
recueil des donnees sociales et des indicateurs utilises par les entreprises. 
Cette difficulte est exacerbee au niveau international car les indicateurs 
(legaux notamment) divergent regulierement d’un pays a I’autre. Ensuite, les 
auteurs precisent les origines de I’audit social et de ses liens forts avec la 
notion de preservation et de controle du patrimoine. Ils specifient egalement 
que ce capital peut etre aussi bien financier que social. La richesse d’une 
entreprise se situe a la fois dans ses ressources financieres (f audit social con- 
trole done I’usage realise de ces ressources aUouees notamment aux salaires et 
autres formes de retribution) et aussi dans ses ressources humaines (I’analyse 
de la GPEC, i.e. la gestion previsionnelle des emplois et des competences). 
Enfin, les autres elements de la definition reprennent les imperatifs classiques 
des missions d’ audit, puisqu’U s’agit d’evaluation des moyens et des objectifs, 
de mise en conformite avec les regies et d’evaluation des risques. Nous 
reviendrons sur les risques specifiques de I’audit social. 


o 
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Differences entre I'audit social et I'audit de la fonction RH 

Avant de poursuivre sur les origines de I’audit social, arretons-nous sur les 
differences de perimetres et d’objectifs entre ce dernier et I’audit de la fonc- 
tion ressources humaines. 

D’apres les definitions precedentes, le perimetre de I’audit social s’etend a 
I’ensemble des relations de I’entreprise. L’objectif de I’audit social est de 
s’assurer de la conformite des donnees sociales, de leur efficacite et de la per- 
tinence de leurs liens avec la strategie de I’entreprise. En revanche, I’audit de 
la fonction ressources humaines a pour perimetre uniquement la fonction 
ressources humaines et s’interesse essentiellement au fonctionnement du ser- 
vice. L’objectif de I’audit operationnel de la fonction ressources humaines 
reside dans I’analyse et foptimisation de ce service. 11 s’agit d’un audit de 
fonction, comme ceux des fonctions logistique, finance et comptabilite. 


Les origines de I'audit social 

Dans les annees 1950 se sont developpees des missions d’ audit specialisees 
(par fonction : audit de la fonction achats, de la fonction marketing, etc.) et 
I’audit social representait alors un developpement transversal des audits ope- 
rationnels. Les missions d’audit social au sein des entreprises fran(jaises se sont 
d’autant plus developpees a la fm des annees 1970 qu’est survenue en 1977 
une obligation de publication de bilan social pour les entreprises de plus de 
trois cents salaries. 

Le bilan social constitue une obligation pour toute entreprise en France de 
plus de trois cents salaries de presenter un certain nombre de donnees socia- 
les (que nous precisons par la suite). Cependant, lorsque les entreprises ne 
presentent pas ces donnees, ces organisations ne sont pas sanctionnees. 
L’ absence de sanction amenuise considerablement la portee de cette obliga- 
tion. Par consequent, certaines entreprises font le chorx de presenter les don- 
nees sociales alors que d’autres ne considerent pas cette obligation comme un 
imperatif de gestion. 

Revenons rapidement sur la notion de bilan social afm de la definir et de la 
differencier clairement de I’audit social. L’objectif du bilan social est d’« etablir 
un bilan social annuel au niveau de chaque entreprise, a partir d’indicateurs represen- 
tatifs de la situation sociale et des conditions de travail » (Sudreau, 1976, cite par 
Danziger, 1997). 

Notons une evolution recente, mais importante dans le comportement des 
entreprises vis-a-vis des donnees sociales. Le developpement de la notion de 
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En pratique 

Le bilan social est divise en sept chapitres : 

• I'emploi (notamment avec la ventilation des effectifs) ; 

• les conditions d'hygiene et de securite (accident du travail) ; 

• les remunerations et les charges accessoires (ainsi que d'autres modes 
de retribution) ; 

• les autres conditions de travail (avec notamment I'organisation du temps 
de travail), 

• la formation (par rapport d la masse salariale, ce qui correspond aux 
imperatifs legaux franpais) ; 

• les relations professionnelles (et notamment le mode de fonctionnement 
du comite d'entreprise) ; 

• les autres conditions de vie relevant de I'entreprise (oeuvres sociales, etc.). 

Au final, il s'agit d'environ 80 d 170 informations que les organisations 
doivent fournir chaque annee. Le choix du nombre et des indicateurs precis 
est laisse d la discretion des entreprises qui les adaptent d leur activite, d 
leur taille, d leur histoire, etc. Le fait de ne pas normaliser les indicateurs 
constitue egalement une limite d cet outil, qui rend difficile les comparai- 
sons inter-entreprises. 


responsabilite sociale de I’entreprise (RSE) et la notation par des cabinets 
externes des elements sociaux et societaux des organisations amenent ces der- 
nieres a analyser et a communiquer de plus en plus de donnees sociales et 
societales. En ce qui concerne les donnees sociales, eUes reprennent en grande 
partie les elements des sept chapitres du bilan social. Pour les donnees societa- 
les, les cabinets de notation sociale (Vigeo par exemple) defmissent des indica- 
teurs de comportement de I’entreprise vis-a-vis de la societe et de son 
environnement (protection de I’environnement, mecenat, conditions de travail 
au sein de I’entreprise et chez ses fournisseurs, etc.). La pression de ces institu- 
tions a pousse les entreprises (cotees notamment) a modifier leurs communica- 
tions dans un premier temps et leur comportement dans un second temps. 

L’ audit social s’inscrit dans cette tendance puisqu’il analyse le comportement 
social de I’entreprise. 11 devient aujourd’hui un outil cle des grandes entreprises 
(multinationales et societes cotees) qui I’utilisent pour s’assurer de la peren- 
nite des actions mises en oeuvre dans le cadre d’une politique de RSE. 
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Definitions des principals notions 

L’ audit social a done notamment pour objectif de mesurer les performances 
sociale et societale de 1’ organisation, de reaUser une analyse sociale et d’abou- 
tir a une planification sociale. 

Nous definissons la performance sociale comme la mesure de I’efficacite de 
la politique menee a I’egard du personnel (detection des problemes sociaux, 
prediction de leur evolution et determination du cout d’opportunite d’une 
reponse), alors que la performance societale represente la mesure de I’effica- 
cite de la politique de I’entreprise a I’egard de son environnement {via toutes 
les parties prenantes). D’autres criteres de performance sont done pris en 
consideration. L’ analyse sociale represente I’etape de diagnostic qui va per- 
mettre revaluation de la performance sociale et I’analyse de I’ecart entre les 
objectifs et la performance realisee. 11 s’agit par consequent d’une etape stra- 
tegique de I’audit social. Enfin, la planification sociale est ainsi defmie par 
Couret et Igalens (1988) : « Le processus de pilotage de la fonction sociale [...] 
dome a I’entreprise le moyen d’obtenir quantitativement et qualitativement les res- 
sources humaines necessaires a la realisation de ses objectifs. » C’est done la un ins- 
trument de mise en coherence des ressources en fonction des objectifs. 


Contenu 

Un constat 1 

Des orientations 2 

-► Des objectifs 3 

-► Des moyens 4 

Des resultats 5 

Des ecarts 6 

Des corrections 7 


Moyens 

Diagnostic social 



Source : Couret et Igalens (1988). 


Schema n° 1 - Les sept phases de la planification sociale 

Sans detaiher les sept etapes de la planification sociale, I’audit social, dans le 
cadre de la planification sociale, a pour objectif d’« aider tons les centres de did- 
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sions de I’entreprise en lew fournissant des analyses objectives, des appreciations, des 
recommandations et des commentaires utiles » (Couret et Igalens, 1988). La mis- 
sion de I’audit social prend la forme de I’analyse sociale suivie de proposition 
d’actions correctives dans le cas d’ecarts entre les objectifs et les resultats 
eifectifs de I’entreprise. L’auditeur social se doit egalement de faire ressortir 
les risques encourus et de les evaluer. 

Risques evalues par I'audit social 

Nous nous appuyons sur Igalens (2000) pour preciser les quatre types de ris- 
ques possibles a evaluer et a anticiper dans le cadre d’un audit social. 

Le premier est le risque de non-respect des textes. 11 se situe au coeur de 
I’audit de conformite qui cherche a s’assurer du respect des lois, des regies et 
des textes afferant a I’entreprise auditee. 

Le deuxieme est le risque d’inadaptation des politiques sociales aux attentes 
du personnel. 11 s’agit du risque de deterioration du climat social du fait d’un 
decalage entre les mesures constituees pour les salaries et les attentes de ces 
derniers. 

Le troisieme risque reside dans I’inadequation des besoins aux ressources 
humaines, c’est-a-dire que les besoins de I’entreprise sont en decalage par 
rapport aux ressources humaines disponibles. La GPEC, que nous avons 
evoquee precedemment, constitue un outil d’ anticipation de ce type de 
risque. 

Enfm, le quatrieme risque identifie represente celui d’envahissement des 
preoccupations sociales par I’entreprise. Lorsque les ecarts entre les 
besoins et les ressources sont trop eleves ou encore lorsque la politique de 
gestion des ressources humaines se trouve particuherement inadaptee, 
alors I’entreprise risque de se perdre dans des conflits sociaux. Ces conflits 
peuvent etre soit ouverts (sous la forme de greves notamment), soit larves. 
Ces derniers sont plus difficiles a percevoir par I’auditeur, mais n’en sont 
pas moins importants, d’autant plus qu’ils peuvent mettre I’entreprise en 
peril. 11s prennent le plus souvent la forme d’un absenteisme accru, de la 
multiplication des arrets maladie, des accidents du travail plus frequents et 
d’un turnover eleve. 

Ces quatre types de risques sont analyses lors des audits sociaux. 11 existe 
essentieUement trois categories d’audit social dont les objectifs divergent en 
fonction de leur finalite. 
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En pratique 

Ces cinq indicateurs (nombre de jours de graves, taux d'absenteisme, 
nombre d'accidents du travail, nombre de jours d'orrets molodie, turnover) 
representent des signoux d'olerte cles pour I'ouditeur social. Ce sont les 
premiers elements socioux qu'il se doit d'onolyser ofin de jouger le risque 
social de I'orgonisotion d ouditer. 


U audit social de conformite, d'efficacite et strategique : 
trois outils pour rentreprise 

L'audit de conformite : le socle de I'audit social 

L’objectifde Tauditeur social lors d’un audit de conformite est de rechercher 
les traces de non-respect des obligations sociales pesant sur I’entreprise. 

11 s’agit en fait d’un audit juridique applique au droit social. L’auditeur se doit 
de prendre connaissance des obligations sociales de I’entreprise telles que les 
obligations administratives (registre du personnel, bilan social, reglement 
interieur, les affichages obligatoires et conventions collectives, etc.). 11 doit 
egalement s’assurer du respect des droits coUectifs des salaries au sein de 
I’entreprise (droit d’expression des salaries, negociation collective, droit a la 
participation, etc.). Dans ce cadre, il rencontre a la fois la direction de I’entre- 
prise, mais aussi les membres du comite d’entreprise, les delegues du person- 
nel et les representants des syndicats presents. 

La deuxieme mission de I’auditeur social reside dans I’analyse du statut juri- 
dique des hommes dans I’entreprise. 11 examine done les contrats de travail, 
les mandats ainsi que les modaUtes d’execution du contrat. 

Enfm I’auditeur social s’assure du respect des obligations de I’entreprise dites 
assorties d’une echeance. 11 s’agit a la fois d’obligations financieres (cotisa- 
tions sociales, Securite sociale, etc.) et d’obligations d’information (notam- 
ment pour les structures de plus de cinquante salaries qui se doivent de 
communiquer aupres du comite d’entreprise). 

La methodologie de 1’ audit social de conformite se decline en trois temps 
de la maniere suivante. D’abord, I’auditeur redige un guide d’audit (une 
« check-list » des elements a verifier et/ou un questionnaire). Puis il echan- 
tiUonne les documents a verifier. En effet, ne pouvant analyser tons les 
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contrats de travail, fiches de paie, etc., I’auditeur selectionne certains 
documents an hasard en fonction de caracteristiques predeterminees. 
Enfin, il identifie les risques de sanctions en cas d’ecart on de non-respect 
des textes par I’entreprise. 

La responsabiUte de I’auditeur repose sur une obligation de moyens essentiel- 
lement. Si le role de I’auditeur social de conformite est proche de celui du 
commissaire aux comptes, toutefois, la responsabilite juridique (et notam- 
ment penale) de I’auditeur social est moindre. 


L'audit d'efficacite : I'analyse des resultats 

Le deuxieme type d’audit social est celui d’efFicacite. 11 intervient le plus 
souvent a la suite d’un audit de conformite. Ce dernier correspond en fait a 
la base de I’audit social. 

Lors d’un audit d’efFicacite, I’auditeur cherche a repondre a deux questions : 

• les resultats obtenus sont-ils conformes aux objectifs fixes ? 

• et les resultats ont-ils ete obtenus au moindre cout ? 

L’objectif de I’audit d’efFicacite est done d’evaluer I’efFicacite de type cout/ 
avantage de la gestion du personnel de I’entreprise. 11 existe trois niveaux 
d’appMcation de I’audit social d’efFicacite. 

Le premier niveau 

11 repose sur I’analyse des resultats par rapport aux objectifs de I’entreprise. 
L’auditeur mesure en fonction des elements preexistants les objectifs de la 
structure et leur realisation. Le dispositif preexistant s’appuie le plus souvent 
sur les tableaux de bord sociaux, le developpement d’un controle de gestion 
social et le bUan social. L’auditeur evalue alors les cri teres de qualite des indi- 
cateurs utilises par I’entreprise. Les principaux criteres de qualite sont : 

• la fidelite de I’indicateur ; 

• sa vaUdite ; 

• sa sensibilite ; 

• sa stabilite ; 

• sa comparabilite. 

L’auditeur effectue ici un controle a trois niveaux. Le premier consiste a 
controler la coherence des procedures avec les choix de I’entreprise. A titre 
d’exemple, si I’entreprise veut s’internationaliser, I’auditeur peut verifier que 


iroupe Eyrolles 


© Groupe Eyrolles 


Audit social : fondements, methodologie et evolutions strategiques 277 


la procedure de recrutement comporte bien un test de langue et que I’anglais 
courant constitue un critere de selection. 

Un deuxieme niveau de controle reside dans revaluation de la coherence des 
pratiques avec les procedures et ensuite de la coherence des pratiques entre 
eUes. Reprenons notre exemple de recrutement en phase d’internationalisa- 
tion. L’auditeur s’assure alors de la mise en application du test de langue lors 
du recrutement et de la coherence avec les systemes de promotion interne de 
I’entreprise. 

Enfin, le dernier type de controle permet d’evaluer la pertinence des proce- 
dures par rapport aux resultats attendus. II s’agit pour I’auditeur de mesurer, 
au-dela de I’application des procedures, I’opportunite de les mettre en 
oeuvre. Pour continuer sur le meme exemple, si I’ensemble des salaries dis- 
pose d’un document attestant d’un score minimum aux tests du TOEFL ou 
du TOEIC (tests d’ anglais en tant que langue etrangere dont la reconnais- 
sance est mondiale), alors il ne semble pas pertinent d’internaliser une proce- 
dure de test deja realisee en externe. 

Le deuxieme niveau 

II s’interesse aux couts d’obtention des resultats. L’auditeur evalue alors la 
capacite des gestionnaires sociaux a expliquer revolution des couts sociaux, 
la separation des couts obligatoires et des couts discretionnaires, I’informati- 
sation de la gestion RH (outils et leur usage), les choix d’externalisation et la 
mesure des couts caches relatifs aux dysfonctionnements sociaux de I’organi- 
sation (absenteisme, accidents du travail, productivite, qualite, turnover, etc.). 

Le troisieme niveau 

Il cherche a mesurer la quaHte des resultats. Cela signifie d’apres Foucher 
(1987), cite par Couret et Igalens (1988), que : « L’audit doit s’attacher a 
comprendre le cheminement de I’information au travers des differentes 
fonctions, s’assurer que le flux des informations chemine correctement. » 
Dans ce cadre I’auditeur analyse les flux d’informations (reeUes et virtuelles) 
au sein de I’organisation. 


L'audit strategique : le lien entre ressources humaines et strategie 

Le troisieme et dernier type d’audit social est I’audit strategique. Celui-ci se 
produit une fois les deux precedents realises, puisqu’il en constitue un 
aboutissement. Il s’agit de I’audit de la traduction de la strategie sociale en 
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phases et en programmes : Tauditeur etudie la strategie sociale et son opera- 
tionnalisation concrete. II procede done a I’analyse des differentes phases du 
processus de planification strategique et en particulier examine les modalites 
de suivi et d’evaluation permettant I’adequation des politiques sociales. 
L’auditeur evalue egalement la capacite des plans et des programmes a tra- 
duire I’ensemble de la strategie sociale. 

De plus, il evalue la convergence de la strategie sociale et de la strategie gene- 
rale de I’entreprise. L’auditeur interroge alors la strategie sociale sur sa capa- 
cite a etre un element favorisant la reussite de la strategie generale. Il doit 
repondre a la question suivante : I’entreprise dispose-t-eUe des ressources 
humaines adaptees aux objectifs qu’elle s’est fixes ? 

En guise de synthese, voici un schema reprenant les questions principales de 
I’auditeur social lors de la realisation des differents types d’audits sociaux. 



Conformite avec les textes 
et obligations legales ? 


Efficaoite oout/avantage ? 
Coherence des procedures et 
pratiques ? 


Coherence de strategie 
sociale avec la strategie et 
les objectifs de I'entreprise ? 


Schema n° 2 - Les trois types d’audit social et leurs objectifs 


Maintenant que nous avons presente les differents types d’audits sociaux et 
leur role dans I’entreprise, precisons la methodologie specifique a I’audit 
social. Cette etape nous permettra ensuite de mesurer I’importance de sa 
contextuahsation et les difficultes que cela peut entrainer au sein d’une mul- 
tinationale. 
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Le diagnostic social : un outil de controls de I'entreprise 

La methodologie d’ audit social reprend un certain nombre d’etapes de la 
methodologie d’audit operationnel puisqu’elle en partage les origines. Nous 
reprenons ici les principales etapes pour insister uniquement sur les specifici- 
tes de I’audit social. La difFiculte de ce dernier reside dans ses implications 
potentielles. Les salaries ont une conscience exacerbee des consequences 
possibles d’un audit social qui peuvent prendre la forme de licenciements, de 
plans sociaux et de reorganisations. II pent egalement entrainer des recrute- 
ments et de possibles developpements, mais cet aspect-la est moins stigmatise 
par les salaries. 

Venons-en a la methodologie d’audit social, qui comprend neuf etapes 
regroupees en quatre sequences. 

Informations et negociotions 

La premiere etape concerne la recherche d’informations ainsi que les nego- 
ciations prealables a la mission. L’auditeur negocie les termes de la lettre 
d’audit avec les demandeurs de la mission. Ce document definit les objectifs 
de la mission ainsi que son perimetre d’action et les elements de logistique et 
de paiement. 

Une fois les contours de la mission definis, I’auditeur s’atteUe a la phase de 
recueh d’informations particuHerement importantes. Un auditeur junior se 
doit de soigner cette phase pour s’impregner de I’experience de ses pairs. 

Le recueil d’informations s’articule autour de plusieurs objectifs comple- 
mentaires. II s’agit d’abord de prendre connaissance de I’entreprise en etu- 
diant son histoire, ses chiffres cles et les rapports d’audit realises 
precedemment. Le deuxieme objectifvise a construire le referentiel sectoriel 
de I’entreprise. Pour cela, une etude approfondie du secteur doit etre effec- 
tuee afin d’elaborer un referentiel pouvant servir de cadre et de referent tout 
au long de la mission. Cette etape de recueil d’information est d’autant plus 
strategique qu’un referentiel incomplet pent faire manquer a I’auditeur une 
problematique importante. 

Enfm, le troisieme objectif de cette etape de recueil d’informations consiste 
en un premier test de la relation avec les differentes parties prenantes de 
I’organisation. 

Concretement, ces trois objectifs prennent la forme de recueils et d’analyses 
de documents et d’interviews avec des representants des parties prenantes 
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En pratique 

Le referentiel sectoriel permet aussi de relativiser certaines donnees de 
I'entreprise. A titre d'exemple, le taux de turnover varie enormement en 
fonction des secteurs d'activite. Dans celui de I'hotellerie et de la restaura- 
tion, il est bien plus eleve que dans la plupart des autres secteurs. 


(direction, syndicats, representants du personnel). Une fois les informations 
recueidies et analysees, I’auditeur social redige des syntheses de travail dans le 
but de construire ensuite un referentiel adapte. 

Constitution d'un echontillon contrasts 

La deuxieme etape de la methodologie d’audit social est recurrente dans les 
missions d’audit operationnel. 11 s’agit de constituer un echantidon contraste 
qui assure une grande diversite de points de vue et pas uniquement une 
representativite. C’est-a-dire qu’au-dela de la representation statistique des 
types de contrats par exemple, I’auditeur examine tons les types de contrats 
(pas uniquement les GDI et les CDD s’il existe egalement quelques contrats 
specifiques au sein de I’entreprise). L’auditeur doit aussi tenir compte des 
contraintes budge taires, en calculant notamment le cout homme/jour pour 
les entretiens a reaHser. Ces contraintes ont ete defmies au sein de la lettre 
d’audit. 

Pour realiser I’echantidonnage, I’auditeur social doit avant toute chose defi- 
nir les criteres dbferenciants (%e, sexe, anciennete, niveau hierarchique, ser- 
vice, etc.) de la population etudiee. Les entretiens realises en preambule 
aident a definir des criteres pertinents. Ensuite, I’auditeur recense les person- 
nes correspondant aux criteres, pour ensuite proceder a un tirage au sort 
aleatoire des personnes a rencontrer au sein du recensement. 

Notons qu’il est primordial pour I’auditeur social de communiquer sur la 
methode et le processus de recueH d’information en introduction des entre- 
tiens afm d’eviter que I’interviewe se sente stigmatise. L’interviewe est 
ecoute pour son point de vue, cense representer une categorie de population 
et non en vue de la suppression de son poste, comme il le pergoit souvent. 

C’est d’ailleurs ce qui ressort de I’etude de la perception de I’audit social 
reabsee parVoynnet-Fourboul (2005) : « L’ audit est commande avant un plan 
social et done risque d’etre annonciateur de reduction d’effectifs. » 
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Recueil de donnees par entretiens 

Les entretiens representent une source d’information strategique et doivent 
etre prepares avec soin pour pouvoir en ressortir le maximum de donnees 
pertinentes. Us sont le plus souvent semi-directifs centres, c’est-a-dire qu’un 
guide d’entretien est redige au prealable pour sei'vir de trame. Cet outU se 
fonde sur le precedent recueil de donnees. Les entretiens ont frequemment, 
dans le cadre d’un audit social, un contenu emotionnel fort du a la themati- 
que de I’audit qui traite des relations entre les personnes. Cette subjectivite et 
cette emotion doivent etre prises en consideration. 


Analyse de contenu 

Une fois les entretiens realises, I’auditeur social effectue une analyse de 
contenu des retranscriptions des entretiens. L’ audit selectionne les themati- 
ques importantes ainsi que les sous-themes recurrents lors des interviews. 
Cette construction de I’arborescence des themes et des sous-themes repre- 
sente une etape cle de I’audit social. 

A Tissue de cette premiere analyse, Taudit pent choisir de valider ces hypo- 
theses d’explication par T administration d’un questionnaire diffuse a 
Tensemble de la population etudiee. Ainsi, les pistes de reUexion provenant 
de Tanalyse de contenu peuvent etre validees ou invalidees. Le choix de 
ToutU d’analyse des resultats statistiques est determinant et pent orienter les 
resultats. C’est pourquoi il est fundamental de choisir son appareiUage statis- 
tique a priori. 

Restitution des resultats 

La restitution des resultats de Taudit social, qui s’articulent autour de Tanalyse 
de la situation et de la presentation du plan d’ action, pent etre a la fois ecrite 
et/ou orale. En function du type de destinataires (direction, syndicats, salaries, 
actionnaires, etc.), Taudit social adapte son discours et la forme de ses resultats. 

Construction du plan d'oction 

L’etape la plus importante de Taudit social consiste a elaborer le plan d’action 
a Tissue des recommandations. En effet, c’est pour obtenir ce plan d’action 
que Tentreprise a suscite un audit social. 11 est done fondamental de rediger 
un plan d’action precis et adapte a la situation et au contexte de Torganisa- 
tion. Comme le specifie Voynnet-Fourboul (2005), « V image de I’audit est 
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meilleure quand la partie sensible que constituent les preconisations donne 
satisfaction ». 


En pratique 

Les rubriques principales du plan d'action sent : 

• une description precise des actions d mener (en fonction du diagnostic 
et de lo strategic sociale de I'entreprise) ; 

• le processus necessaire pour mener d bien cette action : 

• lo designation du responsoble de lo realisation de I'action (service, per- 
son ne, etc.) ; 

• lo precision d'une date butoir et/ou d'une echeonce ; 

• lo specification precise et a priori des indicoteurs de mesure de lo reali- 
sation et de quantification de la realisation de I'action ; il s'agit par 
exemple de preciser que I'evolution des parts de marche ou encore la 
reduction de I'absenteisme sent des criteres d'evaluation pertinents de la 
realisation ou non de I'action d mener. 


Pour augnrenter 1’ appropriation du plan d’action par les acteurs de I’entre- 
prise et la realisation des actions a mener, I’auditeur social pent soumettre ses 
idees de recommandations a des acteurs cles de I’entreprise. Ainsi, ces inter- 
locuteurs rendent compte de la faisabiUte des actions et permettent des ajus- 
tements necessaires. Le plan d’action aura alors bien plus d’impact dans 
I’entreprise, ce qui represente le succes (ou I’echec) d’une mission d’audit 
social. Louart et Beaucourt (2005) precisent d’aiUeurs que « pour ponderer 
les variables qu’on juge utiles et pertinentes a un moment donne, il importe 
done de maintenir nos echanges entre les acteurs concernes ». 

Nous avons evoque dans le detail ce qui fonde I’audit social, les trois types 
d’audit sociaux, ainsi que la methodologie dediee. Determinons maintenant 
la complexite de I’audit social dans un contexte international. Pour cela, 
nous nous appuyons sur le cas d’un audit social dans une multinationale, 
pour mettre en evidence les problematiques emergeant de la diversite des 
contextes. 


o 
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Laudit social dans un contexte international 

L’ audit social en contexte international met a jour deux problematiques 
principales que nous presentons ci-apres. D’une part, il a la specificite d’etre 
fortement lie au contexte legal. De ce fait, les fiUales des multinationales, 
integrees dans de multiples contextes legaux, sont contraintes d’adapter 
I’audit social a leur contexte legal specifique. D ’autre part, I’emergence et le 
developpement recent du concept de RSE modifient la place de I’audit 
social par rapport aux autres formes d’audits operationnels. L’ audit social 
revet une importance nouveUe au sein de I’entreprise et surtout vis-a-vis des 
demandes des parties prenantes. 11 devient de plus en plus strategique. 


Les specificites de I'audit social pour une multinationale 

La specificite de I’audit social en contexte international tient au fait que 
I’audit des relations internes et externes de I’entreprise depend en grande 
partie du contexte de I’organisation. En effet, un certain nombre de relations 
et d’obligations d’informations est impose par la legislation sociale du pays. 
Ainsi, au sein d’une multinationale, I’audit social doit tenir compte des 
contraintes multiformes de 1’ organisation. 

La complexite des contextes multiples 

Comme nous I’avons specific precedemment, I’audit social depend directe- 
ment du contexte legal de I’entreprise. L’audit social de conformite, qui 
represente le socle de I’audit social, s’attache a s’assurer de la conformite du 
comportement organisationnel avec la loi. Le referentiel legal varie d’un pays 
a I’autre. Notons qu’au sein de I’Union europeenne, la constitution euro- 
peenne represente un meta-cadre commun aux pays membres.Toutefois, les 
decUnaisons legales nationales changent d’un pays a I’autre. A titre d’exem- 
ple,la reglementation sur I’amenagement du temps de travail est particuliere- 
ment heterogene au sein de I’UE et dans le reste du monde. Le cadre legal 
frangais encadre clairement la comptabilisation du temps de travail. Cette 
reglementation est evolutive dans le temps comme I’iUustre le mode d’appli- 
cation de la loi Aubry 2 sur la reduction du temps de travail (35 heures) . 
L’auditeur social se doit done d’effectuer une veiUe documentaire sur les 
cadres legaux des pays dans lesquels il intei'vient. Le referentiel subit done 
une contextualisation spatio-temporeUe, puisqu’il varie d’un pays a I’autre et 
dans le temps. 
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La contrainte legale constitue done un premier element de contextualisation 
dont n faut tenir compte. Mais il n’est pas le seul. En efFet, les donnees du 
marche et les habitudes cultureUes d’un pays influencent egalement large- 
ment la pratique de I’audit interne et la constitution du referentiel. Comme 
nous I’avons precise lors de la description de la methodologie d’ audit social, 
I’auditeur construit son referentiel a Tissue d’un recueil des donnees. Les 
donnees economiques et sociales varient d’un pays a Tautre et le referentiel 
d’audit doit etre totalement revise en fonction des elements de contexte. 


En pratique 

Les donnees statistiques sur le turnover des salaries dependent en grande 
partie de la structure du marche du travail local. Le turnover des salaries 
toutes categories confondues est bien plus eleve en Grande-Bretagne 
qu'en France. En effet, en Grande-Bretagne, le cadre juridique facilite les 
licenciements et de fait les recrutements. Ainsi, les flux de personnes d'un 
poste d un autre sont bien plus importants. En France, le cadre legal ne 
favorise pas les flux et cette tendance s'accompagne d'un taux de cho- 
mage eleve qui rigidifie les flux potentiels. De ce fait, un turnover de 1 5 ou 
20 % s'avere bien plus alarmant dans une structure franpaise que dans une 
structure britannique. 


La problematique de Taudit social en contexte international reside alors dans 
une difficulte de comparaison et de consobdation des audits sociaux des dif- 
ferents pays audites. L’ absence de comparaisons possibles et de gestion glo- 
bale des audits sociaux realises amene la multinationale a redefmir les audits 
sociaux. Si Taudit social peut etre freine par le contexte international, il a 
egalement un role federateur a jouer. 


Taudit social et le management multiculturel 

Nous avons evoque les difficultes de Taudit social a Tinternational. Nous 
proposons maintenant d’en envisager les opportunites. L’ audit social peut, au 
sein d’une multinationale, chercher a transcender les difficultes des divergen- 
ces du contexte social, legal et culturel pour construire un socle commun. 

Plus concretement, Tauditeur social au sein d’une multinationale cons- 
truit un referentiel et un guide d’audit avant chacune de ses missions. Un 
socle commun d’elements a auditer revient systematiquement lors de la 
constitution du referentiel. A cela s’ajoutent des elements propres au sec- 
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teur d’activite et a I’entreprise. L’auditeur determine alors les elements 
strategiques pour cette multinationale. C’est lors de la constitution de ce 
referentiel commun que Tauditeur joue un role determinant de federation 
des filiales de la multinationale. En effet, il defmit les elements strategiques 
et recurrents devant etre audites systematiquement au sein des filiales. 
L’ audit social participe alors a la construction de I’identite de la multina- 
tionale par le choix du socle commun. Ce dernier represente a la fois les 
orientations strategiques de I’entreprise et les points communs des filiales. 
La construction et la diffusion de I’identite de la multinationale passe done 
par la constitution de ce referentiel. 

Alors que la multinationale est partagee entre une strategie globale et une 
strategie adaptee aux contextes locaux, le referentiel de I’auditeur social 
represente la part commune des filiales. Si, comme nous I’avons precise pre- 
cedemment, I’audit social se doit de s’adapter aux contextes legaux, sociaux 
et culturels, par son referentiel commun a I’ensemble de I’entreprise, il forge 
une identite a I’entreprise. Le role strategique de I’audit social tient done a la 
constitution du referentiel federateur de I’identite de I’entreprise et de ses 
elements strategiques. 

Ce role strategique est aujourd’hui renforce par les nouveaux roles de I’audit 
social au sein des multinationales. Le developpement de la responsabilite 
sociale de I’entreprise participe au nouveau positionnement de I’audit social. 


Les nouveaux roles de I'audit social au sein de multinationales 

L’ audit social revet done de nouveUes fmalites au-dela de son objectif initial 
de controle de la conformite de I’entreprise, de son efficacite et de sa cohe- 
rence strategique. Le premier role nouveau tient a son aspect federateur qui, 
au sein des multinationales, prend la forme d’un nouveau mode de coordina- 
tion et de construction d’une identite. Le deuxieme role emergeant dans un 
contexte international se fonde sur I’importance grandissante du concept de 
RSE. Au-dela d’un concept, elle modifie aujourd’hui les relations de I’entre- 
prise avec ses parties prenantes, ce qui amene aussi a faire evoluer ses prati- 
ques de gestion. Nous nous fondons ici sur la definition de la notion de 
parties prenantes de Freeman (1984) : « Tout groupe ou individu qui peut affecter 
ou qui est affecte par la realisation des buts d’une organisation. Au sens large, le terme 
comprend les fournisseurs, les clients, les actionnaires, les employes, les communautes, 
les groupes politiques, les autorites politiques (nationales et territoriales) ; les medias, 
etc. » 
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Audit social et responsabilite sociale de I'entreprise 

Depuis la fin des annees 1980 aux Etats-Unis et des annees 1990 en Europe, 
les notions de developpement durable (defini par le rapport Brundtland en 
1987) et de RSE sont devenues des elements incontournables pour I’entre- 
prise. La RSE represente une declinaison du developpement durable dediee 
aux modes de gestion de I’entreprise. Nous nous referons a la definition de la 
RSE de la Commission europeenne (citee par Dejean, 2004), qui integre 
deux dimensions — I’une liee aux ressources humaines et la seconde, plus 
large, concernant 1’ environnement, les droits de I’Elonmie et les 
fournisseurs : « Le concept de responsabilite societale des entreprises signifie essentiel- 
lement que celles-ci decident de leurpropre initiative de contribuer a ameliorer la societe 
et rendre plus propre V environnement [...]. Cette responsabilite s’exprime vis-a-vis 
des salaries et, plus generalement, de toutes les parties prenantes qui sont concernees 
par I’entreprise mais qui peuvent, a leur tour, influer sur sa reussite. » 

Les multinationales communiquent de plus en plus aupres des differentes 
parties prenantes sur leurs comportements social et societal. Pour cela, les 
entreprises utilisent d’autant plus I’audit social, mais dans un but nouveau : 
fournir aux parties prenantes des informations sur les relations sociales de 
I’entreprise. Cette pression creee par les cabinets de notation sociale et la 
constitution et la diffusion d’investissements socialement responsables, oblige 
les multinationales et les societes cotees notamment a communique!' de nou- 
veaux indicateurs de gestion. Ceux proposes par les cabinets de notation 
sociale varient d’un cabinet a I’autre. Toutefois, le cabinet Vigeo fonde ses 
evaluations d’entreprise sur six domaines : 

• droits humains ; 

* ressources humaines ; 

• comportements sur les marches ; 

* gouvernement d’entreprise ; 

* environnement ; 

• engagement societal. 

Concernant le domaine des ressources humaines, Vigeo cherche a evaluer 
« V amelioration continue des relations professionnelles, les relations d’emploi et des 
conditions de travail »h 


1 . www.vigeo.com/csr-rating-agency/ fr/ methodologie/ criteresderecherche/ 37-criteres- 
d’analyse.html 
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Pour cela, le cabinet se refere aux textes de lois fondateurs tels que les decla- 
rations de rONU et de I’UE. Ces indicateurs se retrouvent dans la demarche 
d’audit social qui integre alors de plus en plus un volet d’audit de RSE. Si 
Egg (2005) considere que « V audit de RSE balbutie encore »,il semble toutefois 
que son developpement represente une tendance importante et qu’il replace 
alors I’audit social au coeur des preoccupations strategiques. L’ audit social 
devient un moyen de communiquer avec les parties prenantes et un lien 
nouveau avec celles-ci. 

Pour aUer plus loin,VatteviUe et Joras (2000) considerent qu’un modele uni- 
versel de gestion est en train de voir le jour via le developpement des normes 
Internationales (ISO 9 001 et ISO 14 000 notamment). Presentes dans de 
nombreuses multinationales, quel que soit le pays, ces normes participent a 
une harmonisation des modes de gestion et des standards. L’ audit social 
represente une des dimensions de ces normes, comme le montre le 
schema n° 3. 


Audit financier 



Audit sociai Audit d'environnement 


Source : Vatteville et Joras (2000). 
Schema n° 3 - Le triangle de la soutenabilite 

L’ audit social se trouve done renforce par le developpement de I’audit de 
RSE et par la creation de besoins nouveaux de communication non-finan- 
ciere de I’entreprise autour de la notion de developpement durable. 
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Le role strategique de I'audit social 

Comme nous I’avons precise precedemment, 1’ audit social revet aujourd’hui 
des objectifs strategiques nouveaux. Il s’agit pour les multinationales notam- 
ment de s’en servir comme d’un outil qui federe, transmet et construit une 
identite. II s’agit egalement d’un outil de communication et de gestion des 
indicateurs sociaux et societaux reclames par les parties prenantes. L’audit 
social arrive alors a transcender ses difficultes initiales de gestion de contextes 
multiples pour se conferer une position strategique au sein des multinationa- 
les. 

Feron (2005) evoque la creation d’un audit social de troisieme generation 
pour montrer qu’un nouvel audit social est en cours d’ elaboration. L’ auteur 
precise que I’audit social a ete tour a tour considere comme un cout social, 
puis comme un investissement en dissociant I’entreprise et les personnes. Le 
developpement de I’audit de RSE et du concept meme de RSE replace les 
individus et leurs relations au coeur meme de I’entreprise. L’auteur preche 
pour une approche globale de I’audit social integrant toutes les parties 
concernees. 

L’auditeur social doit alors definir I’ensemble des parties concernees ainsi que 
des indicateurs sociaux et societaux pertinents. Le defi de I’audit social de 
troisieme generation reside dans la nouveUe definition de son perimetre, de 
sa fmalite et des nouveaux indicateurs cles. L’emergence de nouveUes 
demandes des parties prenantes represente a la fois une opportunite impor- 
tante et un defi pour les auditeurs sociaux. 


Pour conclure... 

En conclusion, opres avoir presente les fondements de I'audit social, sa methodologie 
et ses specificites en contexte international, nous avons cherche d montrer les defis de 
I'audit social aujourd'hui. Il semble qu'il se trouve d un tournant important de son 
evolution. 

De plus, I'integration de I'audit de la RSE d I'audit social represente avant toute 
chose une opportunite qui permettra de replacer I'audit social d un niveau 
strategique. Notons que cette evolution est particulierement recente et ne nous permet 
qu'une foible prise de recul par rapport d ces nouvelles notions. 

Toutefois, I'institutionnalisation des concepts de developpement durable et de 
responsabilite sociale, realisee par I'ONU et I'UE notamment, assure I'audit de la 
RSE et par extension I'audit social, d'un renouveau particulierement interessant. 
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Chapitre 1 2 


L'audit stratBgique : 
positionnement, demarche et risques 

Par Patricia Coutelle-Brillet, 

MaTtre de Conferences d I'lnstitut d'Administration des 
Entreprises (lAE) de I'Universite Franpois-Robelais 

de Tours 


L ’audit strategique est associe a Tune des sciences de gestion les plus dif- 
ficiles a apprehender en entreprise. Concu comme une confrontation 
de I’ensemble des poUtiques et strategies de I’entreprise avec le milieu dans 
lequel eUes se situent pour en verifier la coherence globale, il pent transfor- 
mer de maniere durable I’organisation par les preconisations pouvant etre 
suggerees. C’est pourquoi il se revele tres deHcat a realiser et demande une 
grande connaissance et experience de I’entreprise. 

En theorie, I’auditeur doit jouer un role dans I’appreciation de la perfor- 
mance. 11 doit s’assurer qu’une norme de performance est presente dans 
I’entreprise. En pratique, il permet de clarifier de maniere precise le role 
d’apprentissage et de transformation d’une entreprise dans un environne- 
ment en perpetuel mouvement. Ces notions sont mises en exergue de 
maniere encore plus cruciale dans un contexte international ou les condi- 
tions socioculturelles sont differentes. L’audit strategique peut aisement 
s’appliquer a toutes les entreprises, car il doit etre mis en place de maniere 
indifferenciee dans la maison mere, les filiales, les Strategic Business Units 
(SBU),les departements et le capital humain : il s’applique a I’entreprise dans 
sa globalite. 

Ce chapitre vise a presenter, dans un premier temps, les principales evolu- 
tions de la strategie afin de preciser son positionnement et ses roles dans 
I’entreprise ; dans un deuxieme temps, a preciser la demarche et les principes 
necessaires a I’etablissement d’un audit strategique ; enfin dans un troisieme 
temps, a detaiUer les risques lies a la realisation de l’audit, afin de conclure sur 
la necessaire mise en place d’une vision partagee. 
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Le positionnement et les roles de la strategie 
dans Kentreprise Internationale 

La strategie d’entreprise est encore jeune au sein des sciences du manage- 
ment. Neanmoins, depuis I’ouvrage fondateur de 1965 La methode de Harvard 
et son modele strategique, edite par des chercheurs de la Business School de 
Harvard, la strategie d’entreprise a fait I’objet de nombreuses recherches tres 
approfondies. Aujourd’hui, la doctrine et les techniques strategiques sont 
sobdes et abouties, mais Ton constate que tres peu d’entreprises sont capables 
de mettre en oeuvre ses techniques. Ses fmalites, tres importantes, ont pour 
objet d’expliquer les comportements passes de I’entreprise et d’orienter ses 
actions futures. A ce titre, elle se positionne comme I’element federateur de 
toutes les functions et joue un role crucial pour I’avenir de I’entreprise. La 
comprehension des elements du positionnement et des roles de cette func- 
tion (planification, liens avec 1’ organisation) est un prealable indispensable a 
la realisation d’un audit strategique. 


Les principales evolutions de I'analyse strategique 

La strategie est defmie selon Thietart (1993) comme « I’ensemble des decisions 
et des actions relatives au choix des moyens et a V articulation des ressources en vue 
d’atteindre un objectif ». A ce titre, eUe devient le coordinateur de toutes les 
functions de I’entreprise et engage de fagon durable, voire definitive, le deve- 
nir de I’entreprise. Au cours des dernieres decennies, la vision strategique 
federatrice a evolue et permet d’enrichir considerablement les indicateurs 
que I’entreprise pent apprehender (Durieux et al., 2000). 

Ainsi, pendant les annees 1960, la demarche d’analyse strategique a consiste 
d’abord a identifier les opportunites et les menaces liees a I’environnement. 
Ces dernieres correspondent aux transformations de 1’ environnement sus- 
ceptibles de remettre en cause les objectifs strategiques de I’entreprise. Les 
opportunites, eUes, facilitent I’atteinte des buts. Dans un deuxieme temps, le 
stratege a repertorie les forces et les faiblesses de I’entreprise par rapport a ses 
concurrents. Enfm, on a confronte les forces/faiblesses aux opportunites/ 
menaces afin de faire emerger des actions possibles a entreprendre. Cette 
methode a permis de distinguer les facteurs des de succes et les competences 
distinctives de I’entreprise et des functions. 

Dans les annees 1970, des outils synthetiques ont ete proposes afin de confron- 
ter conjointement les opportunites et les menaces ainsi que les forces et les 
faiblesses. Ces dispositifs integrateurs constituent des matrices d’analyse 
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strategique (matrices BCG, McKinsey, A. D. Little). Elies permettent une 
allocation judicieuse des ressources de I’entreprise en fonction de ses acti- 
vites et soulignent I’importance de la segmentation strategique (decou- 
page des activites de I’entreprise en couple produit/marche) et la notion 
de position concurrentielle. Ces matrices proposent aux entreprises 
d’equilibrer leur portefeuille d’activites et leur fournissent des voies 
d’orientations strategiques. La strategie etait alors apprehendee comme un 
outil deterministe. 

Puis les annees 1980 ont depasse le determinisme avec I’apparition de la 
notion de concurrence elargie mise en evidence par Michael Porter (1982) 
et la prise de conscience des capacites de I’entreprise a changer les regies du 
jeu. Porter, par un renouveUement de I’analyse de la competitivite, a mis en 
evidence la notion de concurrence elargie, qui prend en consideration les 
fournisseurs, les clients, les nouveaux entrants et les produits suhstituts en 
plus de la notion de concurrence directe. Cette prise en compte de I’ensem- 
hle des parties prenantes en liaison directe avec I’entreprise a permis d’elargir 
le champ d’appUcation de la strategie. ParaUelement a cette notion, Panalyse 
strategique a demontre la capacite de I’entreprise a changer les regies du jeu 
en proposant des strategies de rupture privilegiant la difFerenciation et 
I’innovation a I’af&ontement direct. Ces strategies privilegient une approche 
fondee sur la specificite et la rarete des ressources detenues par I’entreprise. 
Pour mettre en place ces evolutions, Pentreprise developpe aussi des strate- 
gies relationnelles d’aUiance de cooperation avec des concurrents ou des par- 
tenaires (fournisseurs, clients). Une nouvelle fois, le champ d’application de 
la strategie s’est elargi et complexifie. 

Enfm dans les annees 1 990, les tendances se sont orientees vers les processus 
sous-jacents a la construction et la mise en place de la strategie. EUes conside- 
raient la strategie en termes de processus plus que de contenu et s’articulaient 
autour de concepts comme le changement et la complexite. Elies ont fait 
appel a I’apprentissage organisationnel et au jeu des acteurs susceptihles 
d’imposer des dynamiques a la trajectoire strategique. Cette vision recente a 
mis en exergue les processus de decision au sein de Pentreprise et souHgne les 
aUers-retours entre la strategie et Porganisation. 

Par la comprehension de ces evolutions, Pauditeur interne, dans le domaine 
de la strategie, doit porter son attention sur deux grands elements : la planifi- 
cation strategique et les Hens strategie/organisation. 
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La planification strategique 

En decenibre 2005, I’Expansion Management Review publiait les resultats de 
I’enquete mondiale du cabinet de consed americain Bain & Co sur les outils 
de management les plus utilises par les entreprises dans I’objectif d’une ame- 
lioration de leur resultat net. En tete de ces outils, la planification strategique 
est utilisee par 79 % des entreprises et donne le premier taux de satisfaction. 
Get outn, qui coincide generalement avec une vision de long terme de 
I’entreprise, est aujourd’hui plebiscite par les chefs d’entreprise comme un 
instrument indispensable de pilotage de la performance. 

La planification strategique reprend les principales evolutions de la strategie, 
a savoir la vision descriptive de I’ecole de Elarvard, I’analyse matricieUe, 
I’analyse concurrentieUe et I’approche par les ressources rares. En effet, 
quatre grands elements sont pris en consideration pour etablir cette 
planification : definition des objectifs, definition des metiers (ressources 
rares), analyse de 1’ environnement (ecole de Harvard, Porter) et analyse des 
potentiels existants (matrices) comme le montre le schema ci-apres. 

La definition des objectifs a court terme, mais surtout a moyen et long terme 
constitue une etape incontournable de la planification. EUe permet de defi- 
nir une ligne directrice pour I’entreprise et d’orienter ceUe-ci vers une vision 
commune. La definition des metiers engendre une reflexion sur les ressour- 
ces dont dispose I’entreprise. Quels sont les elements principaux qui peuvent 
lui permettre de s’engager dans tel secteur ou I’obligent a se desengager de tel 
autre ? L’ analyse de 1’ environnement met en exergue la position de I’entre- 
prise par rapport aux differentes parties prenantes : 

• le macro-environnement (politique, economique, socioculturel, techno- 
logique, environnemental, legal) ; 

* le micro-environnement avec les concurrents, les fournisseurs et les 
clients. 

Enfin, I’analyse des potentiels existants permet de determiner les facteurs de 
competitivite sur lesquels I’entreprise pourra s’appuyer pour mettre en place 
ses strategies. 

La planification represente un instrument eminemment strategique. EUe 
permet de decrire le systeme de valeurs associe a I’entreprise et mobilise 
I’ensemble des salaries vers une vision commune. Le plan permet de coor- 
donner pour facUiter I’echange entre les differentes functions presentes dans 
I’entreprise. C’est egalement un facUitateur du pUotage de I’entreprise, 
puisqu’il entraine la mise en place des indicateurs permettant le suivi des 
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Source : Sicard (1998). 


Schema n° 1 - Les etapes de la reflexion strategique 


actions entreprises. Enfin, la realisation d’un plan iniplique la prise en consi- 
deration de toutes les eventualites possibles et prevoit par consequent la ges- 
tion de crise. 

Neanmoins, la planification reste associee a un management par les objectifs 
(direction par objectif et direction participative par objectif) qui sont, notam- 
ment dans le cadre d’une entreprise internationale, de plus en plus difFiciles a 
frxer (DelavaUee, 2005). Cette notion d’objectif de peiEormance doit done 
etre associee aux modes d’organisation presents dans I’entreprise, qui vont 
conditionner la reussite de la planification. 
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Les liens avec I' organisation 

La performance de I’entreprise doit etre evaluee en terme d’objectifs, mais 
aussi prendre en consideration les moyens deployes pour les atteindre. Cette 
apprehension des moyens revient a etabhr des Hens entre strategie et organi- 
sation. Comment doit fonctionner I’organisation pour mettre en oeuvre la 
strategie ? La strategie engendre-t-eUe des modifications de I’organisation ? 
Ces questions renvoient a une analyse plus processueUe de la strategie ainsi 
qu’aux nouveUes approches theoriques developpees telles que I’apprentissage 
organisationnel, le changement organisationnel et la prise en consideration 
du jeu des acteurs. 

Cette approche organisationnelle permet de comprendre pourquoi la strate- 
gie reste encore tres difficile a apprehender pour un dirigeant (Sicard, 1998). 
En effet, la planification strategique engendre une mise en place formalisee 
des actions de I’entreprise qui, dans la pratique, ne semble pas toujours si for- 
malisee et releve parfois de I’intuition. Or, la presence an sein d’une organi- 
sation d’acteurs varies avec des modes de decisions diversifies ne permet pas 
toujours une trajectoire lineaire. Le defi lance aujourd’hui par la strategie 
d’entreprise est la comprehension du jeu des acteurs presents dans I’entre- 
prise. L’exercice meme du leadership on style de management est alors pose. 

La structure de I’entreprise semble un element cle de la strategie de I’entre- 
prise. A une evolution de la strategie doit correspondre, sous peine d’ineffi- 
cacite, une evolution concomitante de la structure. Cette adaptation pent 
etre menee de differentes manieres : 

• incrementale : modification sur une periode assez longue pour repondre 
a des contraintes ; 

• brutale : le changement de structure est mis a I’honneur, car la strategie 
implique une reaffectation des responsabilites, un nouvel organigramme ; 

• planifiee a I’avance : une adaptation programmee et un apprentissage pro- 
gressif des nouveaux modes d’action se met alors en place. 

Quel que soit le mode d’evolution observe, I’adaptation de la structure pre- 
sente une plus on moins grande inertie, le passage a faction se caracterisant 
par une grande immobilite des comportements an sein de I’organisation. La 
structure ne doit pas etre consideree comme un simple moyen de mise en 
oeuvre de la strategie, mais constituer fun des axes essentiels de la reflexion 
sur le management de f entreprise. Autrement dit, le comportement strategi- 
que doit etre induit, c’est-a-dire prendre en compte le contexte structurel de 
fentreprise, modele lui-meme par les strategies poursuivies anterieurement. 
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L’auditeur interne ne doit pas seulement evaluer la coherence des decisions 
strategiques de I’entreprise, mais egalement recenser les modes de decision et 
les jeux d’acteurs ayant permis la mise en place de la strategie. 


La demarche de l^audit strategique : 

Ketablissement d^une performance durable 

L’ audit strategique (ou I’audit de strategie) est congu comme une confronta- 
tion de I’ensemble des politiques et des strategies de I’entreprise avec le 
milieu dans lequel eUes se situent pour en verifier la coherence globale. Le 
role de I’auditeur est done oriente vers une verification des incoherences. 
Pour cela, il peut mettre en place un referentiel en function des caracteristi- 
ques de I’environnement et de I’entreprise, qui lui servira de repere pour 
examiner la coherence des decisions. La demarche de mise en place de ce 
referentiel, ainsi que les principaux domaines d’indicateurs necessaires a 
I’audit, font I’objet de ce prochain developpement. 


La demarche de mise en place de I'audit 

La construction d’un referentiel constitue la premiere etape de mise en place 
d’un audit strategique. 11 permettra a I’auditeur de positionner I’entreprise 
par rapport a son environnement et a ses concurrents et d’evaluer la cohe- 
rence de ses decisions strategiques. En aucun cas I’auditeur ne doit juger les 
decisions strategiques qui sont prises. Neanmoins, il doit pouvoir etabhr un 
constat de coherence des decisions par rapport a un environnement externe 
et interne. La mise en place du referentiel debute par I’etablissement d’un 
diagnostic precis de I’entreprise au sein de son environnement. Des indica- 
teurs de controle doivent ensuite etre proposes afin d’assurer le suivi de 
I’audit et son utilisation dans le cadre de la strategie de I’entreprise. 

Plusieurs etapes caracterisent la mise en place d’un audit strategique : 

• le recueil d’informations ; 

• la construction des indicateurs ; 

• la formulation de la problematique ; 

• I’estimation des consequences ; 

• la hierarchisation des problemes ; 

• la mise en place du referentiel. 


296 La mise en oeuvre d'audits specifiques en environnement international 

Le recueil d'informations 

Cette premiere etape est cruciale dans la mise en place d’un audit strategique 
(Besson et Possin, 2002). Deux elements importants la composent : le recen- 
sement des interlocuteurs et la recherche de toutes les sources d’information 
necessaires a I’audit. 

Le principal interlocuteur de I’audit strategique est souvent le directeur de 
I’entreprise ou un membre de la direction generale. C’est lui qui fournira a 
I’auditeur les cles de la recherche d’information dans I’entreprise. 11 est aussi 
le pilote essentiel de la strategie et, a ce titre, il est important de prendre en 
compte sa vision et ses reflexions qui permettront d’evaluer la pertinence et 
I’adequation de la strategie en cours. C’est aussi le directeur qui donnera a 
I’auditeur les sources d’information necessaires a I’etablissement de son audit. 
D’autres personnes sont alors susceptibles d’etre interrogees : les directeurs 
des principales functions (marketing, finances, ressources humaines, produc- 
tion, recherche, etc.), les responsables du pole d’information et du pole 
d’etudes et peut-etre aussi des sources externes a I’entreprise (fournisseurs, 
sous-traitants, clients) . 

Les informations que doit rassembler I’auditeur sont externes et internes afin 
de pouvoir effectuer un diagnostic complet de I’entreprise. Ainsi, le diagnos- 
tic externe concerne 1’ environnement : 

• macro-environnement : environnement poMtique (stabiUte/instabiUte), 
economique (indicateurs), sociologique (tendances demographiques et 
de comportement), technologique (progres technique), ecologique 
(developpement durable), legal (aspects juridiques) ; 

• micro-environnement : demande (quantitative et quaHtative), ofife 
(quantitative et qualitative), structure concurrentielle (place et image des 
principaux concurrents). 

Quant au diagnostic interne, il vise la function strategie et les principaux ele- 
ments facilitant sa realisation : 

• la strategie : les grandes options strategiques (specialisation, diversifica- 
tion, integration, innovation) ; analyse du portefeuiUe d’activites de 
I’entreprise ; 

• les modes d’organisation (structure simple/matricieUe ; mode de gestion 
hierarchique/partage) ; 

• les procedures (systeme de planification, systeme de controle) ; 

• la productivite (analyse de rentabilite). 
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La construction des indicoteurs 

Le diagnostic etabli, I’entreprise doit departager les elements consideres 
comnie prioritaires des elements secondaires. Ainsi, une hierarchisation des 
points forts et des points faibles de I’entreprise an sein de son environnement 
emerge et permet a I’auditeur de determiner les indicateurs a suivre en prio- 
rite. Ceux-ci peuvent etre quantitatifs (nombre de concurrents, parts de 
marche, taux de croissance), mais aussi qualitatifs (elaboration d’une nouveUe 
loi ou directive gouvernementale, image de marque, comportement du 
consommateur) . Les indicateurs chiffres sont faciles a elaborer et a analyser. 
Pour les indicateurs qualitatifs, la mise en place d’echelles de mesure (image, 
satisfaction) pent s’averer necessaire. L’auditeur pent aussi mettre en place 
une mesure de probabiUte d’apparition ou non d’un facteur qualitatif, ce qui 
revient a evaluer le risque de survenance de I’evenement : changement poli- 
tique, accord d’une subvention, etc. 

Formulation de lo problemotique, estimation des consequences, 
hierarchisation des problemes 

Par la mise en place des indicateurs, I’auditeur va souligner les principales 
incoherences se manifestant lors de I’appUcation de la strategie a I’entreprise. 


En pratique 

Une entreprise connaTt une performance moyenne, mais possede des com- 
petences pouvant etre elargies d d'autres secteurs d'activites. ['audit peut 
suggerer une diversification, ['estimation des consequences (financieres, 
humaines, materielles, d'image) liees d cette problematique va permettre 
de hierarchiser les principaux facteurs lies d cette problematique et d'envi- 
sager les secteurs d'activites prioritaires qui conviendraient pour ameliorer 
la performance de I'entreprise. 


Le referential n’est toutefois pas un outil statique : les standards de comparai- 
son des indicateurs et meme les indicateurs eux-memes peuvent varier de 
fapon a etre en coherence avec revolution de I’environnement et la strategie 
menee par I’entreprise. L’etablissement d’un referential permet simplement 
d’initier la demarche afin d’assurer la coherence de la strategie de I’entreprise 
et permettre son suivi. 
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La determination des causes des incoherences est generalement identifiee 
grace a des outds largement employes dans la mise en place de la qualite 
comme le diagramme causes/effets. Cependant, dans le cadre des decisions 
strategiques, le principal defi a relever reside dans le partage de 1’ information, 
voire de la connaissance. Cette determination des causes depasse I’obtention 
de simples informations. On trouve derriere une veritable analyse menee par 
les acteurs de I’entreprise, qui met en evidence leur connaissance, leur expe- 
rience. Get argument va encore elargir le champ des personnes a interroger 
dans le cadre d’un audit strategique, car c’est sur le terrain que s’expliquent 
souvent les incoherences. On passe alors d’un audit de conformite a un audit 
processuel. 

Le triptyque constat/diagnostic/preconisation doit etre maintenu tout au 
long d’un audit strategique. Afin de verifier la coherence d’une strategie, il 
faut absolument determiner les causes et suggerer des preconisations. Le 
referentiel de I’auditeur strategique va alors comprendre des indicateurs de 
coherence associes a la performance de I’entreprise d’une part et aux causes 
de cette performance d’autre part. 


Les principes de mise en place des indicateurs 

L’auditeur, lors de la construction du referentiel, doit s’assurer que la perfor- 
mance voulue est reahsable par I’entreprise en fonction de son secteur et de 
ses moyens propres. Ensuite, I’auditeur doit observer certains indicateurs 
pour s’assurer que la performance voulue est connue de tous les services. 

S'assurer d'une performance realisable et multiple 

Pour verifier que la performance de I’entreprise est realisable, I’auditeur doit 
confronter les informations concernant les objectifs de performance avec 
celles de 1’ environnement, ainsi qu’avec les moyens internes de I’entreprise. 

Une politique de benchmarking pent aider I’auditeur a etablir une norme de 
performance de I’entreprise par rapport a ses principaux concurrents et a 
fournir des criteres d’efficacite et d’efficience. En effet, le benchmarking 
consiste a prendre en consideration les meilleures pratiques dans le secteur 
d’activite et dans le pays concerne et a effectuer une comparaison systemati- 
que avec les resultats et les moyens de I’entreprise. L’auditeur peut alors 
deternuner si I’objectif strategique propose est realisable grace a I’analyse des 
facteurs de contingence. 


iroupe Eyrolles 


© Groupe Eyrolles 


['audit strategique : positionnement, demarche et risques 299 


La performance de I’entreprise represente un concept polymorphe. EUe 
s’apprecie par differents indicateurs qui ne sont pas uniquement financiers on 
boursiers. La performance de Lentreprise prend aussi en consideration le 
marche, les aspects sociaux et I’environnement. L’ audit de strategie, qui 
demande le controle de la vision a plus ou moins long terme de I’entreprise, 
doit s’assurer que la performance est associee a de multiples criteres, comme 
le suggere le tableau suivant. 

Tableau n” 1 - Les criteres de performance 


Types de performance 

Indicateurs 

Performance boursiere 

Valeur boursiere sur les marches internationaux pour les 
entreprises cotees 

Performance financiere 

Ratio d’autonomie financiere 
CAP (capacite d’autofinancement) 

Performance economique 

Taux de croissance 
Part de marche 
Implantation internationale 

Performance sociale 

Niveau de remuneration 
Formations proposees 
Taux de turnover 
Indice de satisfaction 

Performance societale 

Traitement des dechets 
Respect des droits de I’Homme 
Aides aux pays en developpement 


La prise en compte de cette multiplicite amene I’audit strategique a benefi- 
cier d’une vision plus lointaine de I’activite de Lentreprise. 11 s’agit la non 
seulement de la prise en compte des comptes et des dividendes de Lentre- 
prise pour une annee, mais egalement de la verification de la mise en place 
de conditions d’une performance durable. 

La politique de benchmarking et la verification de la notion de performance 
multiple constituent les principes essentiels de Laudit strategique. L’auditeur 
doit, par son evaluation de la planification strategique, s’assurer d’une vision 
a long terme pour Lentreprise. Mais cette planification doit etre communi- 
quee et comprise par toutes les SBU. C’est la le deuxieme principe essentiel 
de mise en place d’un audit strategique. 
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L'alignement des decisions strategiques aupres de I'organisation, 
des SBU et du capital humain 

La strategic, notamment internationale, est composee d’un grand nombre 
d’activites a fort impact qui doivent etre coordonnees et auxquelles les res- 
sources adequates doivent etre fournies du haut en bas du systeme de mana- 
gement. La coherence strategique, concept introduit par Michael Porter, 
designe la concordance interne des activites d’execution des composants de 
la strategic (Porter, 1 996) . 

L’objectif principal de cette concordance est de creer des synergies et de faci- 
liter I’integration de la strategic an sein des differentes activites. En effet, 
chaque centre de decision dans les differents pays procede a I’actualisation de 
sa propre strategic, done ne cree pas les conditions d’une cooperation per- 
mettant des synergies. Ces processus de management fragmentes, tres fre- 
quents a I’international, expliquent pourquoi beaucoup d’entreprises 
n’arrivent pas a mettre en oeuvre leurs strategies. Le role de I’auditeur con- 
siste a souligner les mecanismes de coordination existants et inexistants qui 
permettraient la creation d’une strategic optimale (Mintzberg, 1982). 

Afin de mettre en place un alignement de la strategic, des indicateurs doivent 
etre assignes au niveau de I’organisation, des SBU et du capital humain 
(Kaplan et Norton, 2007). Ainsi, au niveau de P organisation, la planification 
strategique doit se traduire en termes operationnels pour tous les centres de 
decisions avec la creation d’un tableau de bord prospectif, la fixation d’objec- 
tifs et I’attribution des responsabUites. 

Par aiUeurs, au niveau des SBU, leur role et celui du groupe doit etre aligne. 
Autrement dit, il doit exister une declinaison de la strategic par SBU avec 
I’aide des fonctions support et la prise en compte des partenaires exterieurs. 

Enfin, sur le plan du capital humain, une sensibHisation a I’interieur de 
I’entreprise est necessaire, en attribuant une responsabiUte strategique a 
chaque individu. 

L’auditeur doit s’assurer que la strategic est bien declinee selon ces trois 
niveaux. Cette declinaison correspond a une evolution recente de la strategic 
qui ne prend pas simplement en compte le determinisme de I’environne- 
ment, mais admet que les parties prenantes associees a I’entreprise jouent un 
role dans I’etablissement de la strategic. Neanmoins, des risques subsistent et 
renforcent la necessite d’une vision partagee de la strategic dans I’entreprise 
afin d’eviter I’echec de sa mise en place. 
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Les risques associes a Kaudit 

L’ audit strategique est trop souvent percu comme un systeme de controle et 
de surveillance. Or, son role consiste aussi a participer a garantir la perennite 
de la performance de I’entreprise par des preconisations.Aujourd’hui encore, 
des risques persistent en raison de la nature des indicateurs et d’une mauvaise 
communication. 11 s’avere alors necessaire d’aller plus loin dans la demarche 
d’audit et de confronter les points de vue de tons les protagonistes de I’entre- 
prise afin de mettre en place une vision partagee. 


Des indicateurs trop contraignants ou non adaptes a I'entreprise 

Les indicateurs associes a I’audit strategique constituent la plupart du temps 
des indicateurs de coherence de la strategie mise en place. 11 ne s’agit pas de 
juger les decisions strategiques, mais d’etablir une concordance entre I’entre- 
prise, I’environnement et les differents protagonistes, internes et externes. 

Or, la reponse a ces indicateurs est souvent donnee par la direction generale 
et ne correspond pas toujours a ce qui est reeUement en place dans I’entre- 
prise. En effet, a chaque niveau de Lorganisation correspond une perception 
differente de la strategie, qui n’est parfois pas prise en compte par la direc- 
tion. 11 en resulte des conflits conduisant a une situation de statu quo dans la 
mise en place de la strategie. De plus, les preconisations issues de I’audit ne 
trouvent aucune application. Trois points cruciaux doivent etre surveiUes par 
I’auditeur dans la mise en place des indicateurs (Bennett et al, 2001). 


La conscience du management 

11 importe d’apprecier le role intrinseque de I’organisation dans I’ameliora- 
tion de la performance. Beaucoup de dirigeants ont herite du modMe de leur 
organisation et ne disposent ni du temps ni des ressources necessaires pour 
apprecier a quel point il est fonctionnel. S’ils se heurtent a rimpossibiHte de 
reahser leurs objectifs, il est exceptionnel qu’bs recherchent dans I’organisa- 
tion les interactions, les arrangements et les motivations qui sont la source de 
la non-appMcation de la strategie. 


La faille et la complexite 

A partir d’une certaine taiUe, les entreprises Internationales ne peuvent plus 
garantir I’homogeneite de leurs decisions dans les transactions. Pour maintenir 
le controle et tirer profit des specialisations fonctionnelles, dies sont obligees 
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de morceler rorganisation. Pourtant, des frictions entre departements ou 
SBU en resultent frequemment en raison d’une coordination impaidaite. 

L'emiettement des informations 

Dans les entreprises internationales, les cadres superieurs sont relativement 
eloignes des informations qui leur seraient necessaires pour decider. Des pro- 
cedures specifiques peuvent garantir un alignement entre les filiales et le siege 
en delegant certaines responsabilites. En revanche, ces solutions Hmitent sou- 
vent I’adaptation de Porganisation dans son ensemble. 

Ce lien entre strategie et organisation presente un risque important dans la 
mise en place de la strategie qu’il convient d’analyser avant la mise en place 
de I’audit. 


Une mauvaise communication externe et interne 

Le modMe de communication adopte par I’entreprise constitue aussi un 
risque majeur de non-comprehension ou de mauvaise comprehension de 
I’audit strategique. 

Vis-a-vis des actionnaires et des clients, I’audit strategique doit etre presente 
comme un vecteur de bonne sante de I’entreprise, qui souhaite aUer plus loin 
dans son developpement. 11 ne s’agit en aucun cas d’un controle des deci- 
sions de la direction pour y trouver des faiblesses. Bien au contraire, il doit 
etre presente comme un audit de progres. 

Et vis-a-vis des services internes et des differents SBU, I’audit doit permettre 
la communication et le partage des informations dans le but d’une bonne 
adaptation et coordination de la strategie. Cette notion de communication 
interne doit etre privilegiee, car il s’agit d’obtenir un partage des connaissan- 
ces a chaque niveau de I’entreprise et pas seulement une transmission 
d’informations. 


La necessite d'une vision partagee 

L’organisation, les SBU et le capital humain ne doivent pas simplement s’aH- 
gner sur la strategie pronee par les dirigeants de I’entreprise, mais en devenir 
les elements cles. Cette vision, qui repond a la complexite de la strategie 
aujourd’hui, amene a reconsiderer le role de I’auditeur, qui doit repenser la 
construction de son referentiel de coherence avec I’ensemble des acteurs de 
I’entreprise. 11 s’agit d’etabUr une vision partagee de la strategie de I’entre- 
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prise par tous les acteurs et de coordonner I’information et la connaissance 
par rapport aux attentes de la direction generale. 

La vision de I’entrepreneur/ dirigeant est resolument strategique, car tournee 
vers I’externe et I’interne de I’entreprise. Mais sa maniere de percevoir les 
choses est influencee par sa formation, son apprentissage et son experience. 
La facon de decoder des informations et de les transmettre differe selon les 
individus. L’entrepreneur ne retient que ceUes en accord avec sa vision gene- 
rale. 11 en va de meme pour toutes les personnes travaiUant dans I’entreprise. 
Le defi est d’arriver a faire partager la meme vision a tout le capital humain 
de I’entreprise pour garantir I’application de la strategie.Autrement dit, le defi 
de I’audit strategique aujourd’hui est d’analyser la coherence des decisions 
strategiques a tous les niveaux de I’entreprise (Simons, 1995, Melville, 2003). 


Pour conclure... 

L'audit strategique represente un outil puissant, car il permet a I'entreprise de se 
donner les conditions d'une bonne sante d long terme. Il doit neonmoins prendre en 
consideration devolution de lo strotegie, qui est possee d'un determinisme tres 
onolytique d une complexite poussee en termes de processus. 

L'ouditeur, dons so demarche d'onolyse, doit respecter certains principes : s'ossurer 
d'une performance realisable et multiple et de I'olignement de lo strotegie ovec 
I'orgonisotion, les SBU et le capital humain. 

Neonmoins, des risques persistent, lies d lo nature des indicateurs et d la 
communication de l'audit envers ses portenoires. I'entreprise, pour conditionner so 
reussite, doit done mettre en place une vision portogee. 
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Conclusion generole 


C es dernieres annees, un environnement economique instable, ponctue 
de quelques scandales et de faiUites retentissants (Enron, Worldcom, 
Xerox, Parmalat), a plus que jamais mis I’accent sur la gouvernance de 
I’entreprise. L’ampleur et la brutaUte des crises actuelles amenent done les 
actionnaires et les autres parties prenantes de I’entreprise a exiger des diri- 
geants qu’ds s’assurent que leur organisation est bien sous controle et le 
demontrent. 

Outre la publication de codes de bonne gouvernance et de referentiels de 
controle interne dans dilierents pays, la loi Sarbanes- Oxley de juiUet 2002, 
de portee Internationale et ses equivalents au Canada, en France, en Suisse, 
etc., renforcent les obligations en matiere d’information sur le controle 
interne. Ces dispositions nouveUes, visant a fiabiUser la chaine de valeur de 
I’information fmanciere, dans un contexte d’internationalisation croissante 
des entreprises, engendrent deux implications majeures, qui ont retenu ici 
notre attention. 

Ainsi, eUes poussent ineluctablement sur le devant de la scene la function 
d’audit interne, en tant qu’organe de gouvernance de I’entreprise. CeUe-ci, 
jusque-la peu affirmee dans de nombreuses firmes, monte aujourd’hui en 
puissance. 

En outre, eUes induisent une evolution dans I’organisation de la function 
d’audit interne, dans son positionnement au sein de I’entreprise, dans ses 
relations avec les autres acteurs de I’entreprise, ainsi que dans la methodolo- 
gie de I’audit interne, son champ d’ application et sa geographie. 

Cet ouvrage a ainsi tente de faire ressortir les enjeux et les specificites de 
I’audit interne dans un environnement international. 11 souleve egalement 
des interrogations et des problematiques qui interpellent tant les profession- 
nels que la communaute scientifique. 

En premier heu, I’audit interne s’insere dans le processus d’audit global, 
lequel inclut, outre les travaux de I’auditeur interne, ceux de I’auditeur statu- 
taire.Apres s’etre penches sur les determinants de qualite de I’audit legal, puis 
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sur ceux de la quaHte de I’audit interne, chercheurs et praticiens ne manqueront 
pas d’examiner les facteurs explicatifs de la quaHte du processus d’audit global 
(audit interne plus audit externe) en integrant le role majeur joue par le 
coniite d’audit a la suite de I’adoption de la Loi Sarbanes-Oxley et de la revi- 
sion de la huitieme directive europeenne. 

Par aiUeurs, les dimensions nouvelles de I’audit interne — en particuHer sa 
contribution au management strategique, a la responsabUite sociale de 
I’entreprise, au developpement durable, a la promotion de I’ethique et a la 
prevention de la fraude - qui sont davantage developpees dans les grands 
groupes internationaux, ouvrent la voie a des visions plus sophistiquees de 
I’audit interne. Ces evolutions rendront possible la mobilisation de theories 
plus nombreuses et d’un cadre conceptuel plus riche, qui permettront de 
mieux faire ressortir la valeur ajoutee de I’audit interne. 

Enfm, selon Power (2005), la legitimite des pratiques de gestion depend 
maintenant de leur auditabHite. Rendre les entreprises auditables, c’est faire 
en sorte que les processus de gestion puissent etre evalues, par I’entreprise 
eUe-meme et par des tiers independants. Par rapport a cette affirmation, il 
semble interessant de se poser la question de I’adaptabilite des procedures 
d’audit interne aux pratiques de gestion existantes ou au contraire sur la 
maniere dont le processus d’audit peut faconner les pratiques de gestion. 
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